Active Directory信頼は、Active DirectoryドメインとActive Directoryフォレスト間で作成できます。 信頼を使用すると、2つのドメイン間の関係を維持して、ドメイン内のリソースにユーザーがアクセスできるようにすることができます。 Active Directoryフォレスト内のドメイン間のすべての信頼は、推移的な信頼と双方向の信頼です。 そのため、同じActive Directoryフォレストのドメイン間で信頼を作成する必要はありませんが、あるドメインのユーザーが別のActive Directoryフォレスト内の別のドメイン内のリソースにアクセスできるようにする必要がある場合は、別のActive Directoryフォレストのドメイン間で信頼を作成する必要があります。 この資料では、Windows Server2016で使用可能な信頼の種類と、Windows Server2016コンピュータにActive Directoryをインストールするときに付属する組み込みツールを使用してそれらを管理す
Active Directory信頼の種類
利用可能なActive Directory信頼には、外部信頼、領域信頼、フォレスト信頼、およびショートカット信頼の四つのタイプがあります。
- 外部信頼:リソースが別のActive Directoryフォレストにある場合にのみ、外部信頼を作成します。 外部信頼は常に非transitiveであり、一方向または双方向の信頼にすることができます。
- 領域の信頼:領域の信頼は、Active Directoryフォレストと、eDirectory、UnixディレクトリなどのWindows以外のKerberosディレクトリとの間に常に作成されます。 信頼は推移的および非推移的にすることができ、信頼の方向は一方向または双方向にすることができます。 実稼働環境で別のディレクトリを実行していて、いずれかのディレクトリのリソースへのアクセスをユーザーに許可する必要がある場合は、レルム信頼を確立する必要があります。
- フォレストの信頼:Active Directoryフォレスト間でリソースの共有を許可する必要がある場合は、フォレストの信頼を作成する必要があります。 フォレストの信頼は常に推移的であり、方向は一方向または双方向にすることができます。
- ショートカット信頼: ユーザーのログイン操作を改善する必要がある場合は、同じActive Directoryフォレストのドメイン間にショートカット信頼を作成することができます。 ショートカット信頼は常に推移的であり、方向は一方向または双方向にすることができます。
Active Directoryの信頼に関する重要なポイント
Active Directoryの信頼を作成するときは、次の点に注意してください。
- 信頼の作成操作を実行する 少なくとも、domain adminsまたはenterprise adminsセキュリティグループの一員であるか、信頼を作成するために必要なアクセス許可が付与されている必要があります。信頼の作成操作の一環として、2つの宛先間の信頼を検証する必要があります。 検証は、Active Directoryドメインと信頼スナップインまたはNetdomコマンドラインツールを使用して行うことができます。
- 外部またはフォレストの信頼を作成するときに、ユーザーの認証の範囲を選択できます。 選択的認証を使用すると、信頼するActive Directoryフォレスト内のリソースコンピューターにアクセス許可が与えられている信頼されたActive Directoryフォレスト内のidのみ アクセス制限のシナリオは、外部信頼とフォレストの信頼にのみ適用される選択的認証機能を使用することによって実現されます。
信頼の作成方法
Active Directoryドメインと信頼スナップインまたはNetdomコマンドラインツールを使用して、上記で説明した信頼を作成できます。 たとえば、Active Directoryドメインと信頼スナップインを使用して外部信頼を作成するには、次の手順を実行します。
- ドメインを入力します。スタートメニューの検索バーのmsc。
- ドメインノードを右クリックし、プロパティアクションをクリックします。
- [信頼]タブで、新しい信頼をクリックし、[次へ]をクリックして手順を表示します。
- [信頼名]フィールドにドメインのDNS名を入力し、[次へ]ボタンをクリックします。
- [信頼の種類]ドロップダウンで、作成する信頼の種類を選択します。 外部信頼を作成しているので、[外部信頼]を選択し、[次へ]ボタンをクリックします。
- “信頼の方向”と表示されているページで、”方向”を選択し、画面上の手順に従って信頼の作成を続行します。
Netdomコマンドラインツールを使用して外部信頼を作成するには、次のコマンドを実行します:上記のコマンドでは、信頼するドメインのDNSドメイン名と<TrustedDomain<TrustedDomain<TrustedDomain<TrustedDomain<TrustedDomain<TrustedDomain<TrustedDomain<TrustedDomain<>は、信頼で信頼されるドメインのdnsドメイン名です。
信頼の検証
信頼を作成したら、Active Directoryドメインと信頼スナップインまたはNetdomコマンドラインツールを使用して検証できますが、Netdomコマン
Netdom Trust <TrustingDomain> /D:<TrustedDomain> /Verify
Active Directoryドメインと信頼sanp-inを使用して信頼を作成するのは簡単ですが、信頼を確認する場合は、Netdomコマンドラインユーティリテ所定の位置に。
写真クレジット:Wikimedia