ADの基礎
MicrosoftのActive Directory(AD)は、Windows Server上で動作するディレクトリサービスで、ユーザーやコンピュータ、その他のリソースを一元管理するための仕組みです。以下では、ADの基礎から、ドメインと信頼関係について説明します。
### Active Directoryの基礎
1. **ドメイン**:
- ドメインは、ユーザーやデバイスが共通のディレクトリデータベースで管理される論理的なグループです。
- ドメインコントローラー(DC)は、このデータベースをホストし、認証と認可を提供します。
2. **フォレスト**:
- フォレストは、1つ以上のドメインを含むADの最上位のコンテナです。
- 同じフォレスト内のドメインは共通のスキーマとグローバルカタログを共有します。
3. **ツリー**:
- ツリーは、階層的に組織されたドメインのコレクションで、ドメイン間は信頼関係によって連携されています。
### ドメイン間の信頼関係
ドメイン間の信頼関係(Trust)は、異なるドメイン間でリソースを共有するためのセキュリティメカニズムです。信頼関係にはいくつかの種類があります。
1. **双方向の信頼関係(Two-Way Trust)**:
- 双方向の信頼関係では、2つのドメインがお互いを信頼し合います。
- これにより、両方のドメインのユーザーが相手のドメイン内のリソースにアクセスできます。
- フォレスト内のドメインは自動的に双方向の信頼関係を持ちます。
2. **片方向の信頼関係(One-Way Trust)**:
- 片方向の信頼関係では、片方のドメインがもう片方のドメインを信頼しますが、その逆はありません。
- 信頼されるドメインのユーザーは、信頼するドメインのリソースにアクセスできますが、その逆はできません。
3. **外部の信頼関係(External Trust)**:
- フォレスト外のドメインと信頼関係を設定する際に使用されます。
- 主に、NT 4.0ドメインや他のフォレストとの連携に用いられます。
4. **フォレスト信頼(Forest Trust)**:
- 2つのフォレスト間で設定される信頼関係で、フォレスト全体のリソース共有を可能にします。
- 基本的に双方向であり、信頼関係を設定することで、フォレスト内の全ドメイン間でアクセスが可能になります。
5. **親子ドメイン信頼(Parent-Child Trust)**:
- 同じツリー内で、親ドメインと子ドメイン間に自動的に設定される信頼関係です。
- 双方向の信頼関係で、ツリー内の他のドメインにも拡張されます。
### トップレベルドメインからサブドメインの信頼関係
- トップレベルドメイン(TLD)からサブドメインへの信頼関係は、通常、親子ドメイン信頼として自動的に確立されます。
- この信頼関係により、サブドメインのユーザーは親ドメイン内のリソースにアクセスでき、またその逆も可能です。
- サブドメイン同士も、同じ親ドメインを通じて信頼関係を持ちます。
これらの信頼関係は、組織のセキュリティポリシーや運用ニーズに応じて設定や管理が必要です。信頼関係を適切に設定することで、セキュリティを維持しつつ、必要なリソースへのアクセスを効率的に管理できます。
この記事が気に入ったらサポートをしてみませんか?