ADの基礎

MicrosoftのActive Directory（AD）は、Windows Server上で動作するディレクトリサービスで、ユーザーやコンピュータ、その他のリソースを一元管理するための仕組みです。以下では、ADの基礎から、ドメインと信頼関係について説明します。

### Active Directoryの基礎

1. **ドメイン**:
  - ドメインは、ユーザーやデバイスが共通のディレクトリデータベースで管理される論理的なグループです。
  - ドメインコントローラー（DC）は、このデータベースをホストし、認証と認可を提供します。

2. **フォレスト**:
  - フォレストは、1つ以上のドメインを含むADの最上位のコンテナです。
  - 同じフォレスト内のドメインは共通のスキーマとグローバルカタログを共有します。

3. **ツリー**:
  - ツリーは、階層的に組織されたドメインのコレクションで、ドメイン間は信頼関係によって連携されています。

### ドメイン間の信頼関係

ドメイン間の信頼関係（Trust）は、異なるドメイン間でリソースを共有するためのセキュリティメカニズムです。信頼関係にはいくつかの種類があります。

1. **双方向の信頼関係（Two-Way Trust）**:
  - 双方向の信頼関係では、2つのドメインがお互いを信頼し合います。
  - これにより、両方のドメインのユーザーが相手のドメイン内のリソースにアクセスできます。
  - フォレスト内のドメインは自動的に双方向の信頼関係を持ちます。

2. **片方向の信頼関係（One-Way Trust）**:
  - 片方向の信頼関係では、片方のドメインがもう片方のドメインを信頼しますが、その逆はありません。
  - 信頼されるドメインのユーザーは、信頼するドメインのリソースにアクセスできますが、その逆はできません。

3. **外部の信頼関係（External Trust）**:
  - フォレスト外のドメインと信頼関係を設定する際に使用されます。
  - 主に、NT 4.0ドメインや他のフォレストとの連携に用いられます。

4. **フォレスト信頼（Forest Trust）**:
  - 2つのフォレスト間で設定される信頼関係で、フォレスト全体のリソース共有を可能にします。
  - 基本的に双方向であり、信頼関係を設定することで、フォレスト内の全ドメイン間でアクセスが可能になります。

5. **親子ドメイン信頼（Parent-Child Trust）**:
  - 同じツリー内で、親ドメインと子ドメイン間に自動的に設定される信頼関係です。
  - 双方向の信頼関係で、ツリー内の他のドメインにも拡張されます。

### トップレベルドメインからサブドメインの信頼関係

- トップレベルドメイン（TLD）からサブドメインへの信頼関係は、通常、親子ドメイン信頼として自動的に確立されます。
- この信頼関係により、サブドメインのユーザーは親ドメイン内のリソースにアクセスでき、またその逆も可能です。
- サブドメイン同士も、同じ親ドメインを通じて信頼関係を持ちます。

これらの信頼関係は、組織のセキュリティポリシーや運用ニーズに応じて設定や管理が必要です。信頼関係を適切に設定することで、セキュリティを維持しつつ、必要なリソースへのアクセスを効率的に管理できます。