Win 2003を使用するとフォレスト間の信頼を簡単に確立できます

Windows 2000では、企業はさまざまな部署をActive Directoryフォレストという統一された構造に統合できます。これはWindows NT 4.0では不可能です。 NT 4.0ドメインに共存できない多くの事業単位は、組織単位（OU）またはActive Directoryのドメインに平和的に共存できるようになりました。しかし、単一の森林構造を使用する人々が言うように、事業単位が共存できない場合もあります。時には商業的または政治的な理由であなたが別の森を達成することを要求します。多くの場合、別々のフォレストのユーザーは依然として中央フォレストのリソースにアクセスする必要があります。したがって、あなたは中央の森林と他の森林の間で信頼を築く必要があります。 Windows 2003が異なるフォレストドメイン間で信頼関係を確立する方法は、NT 4.0と同じです。しかし、Windows Server 2003の新しいフォレスト信頼機能により、それが簡単になります。

複数のフォレストの例

情報セキュリティの観点からは、ドメインはセキュリティの境界であるだけでなく、レプリケーションと管理の間の境界でもあります。ルートドメイン管理者グループ、ドメイン管理者グループ、およびエンタープライズ管理者グループのメンバは、フォレスト内の任意のコンピュータに簡単にアクセスできます。本当に資源を隔離する唯一の方法は、それらを別々の森林に入れることです。

1つの森を作るという考えをあきらめる必要はありませんが、森の数を最小限に抑え、必要なときにのみ森を増やすように変更する必要があります。フォレストを作成するかどうかを判断する方法の基準については、Microsoftホワイトペーパー「Active Directoryでの管理の委任に関する設計上の考慮事項」（http://www.microsoft.com/windows2000/techinfo/planning/activedirectory/addeladmin.asp）を参照してください。このホワイトペーパーでは、OU、ドメイン、およびフォレスト間のセキュリティ境界を明確に説明し、コマーシャル単位を別々のフォレストに入れるかどうかを決定する方法を示します。

いつ分離するのに森が必要ですか。これはいくつかの状況で必要です。最も一般的な状況は、管理の自律性を保証する必要があることです（'と同等）。もう1つのシナリオは、プリンシパルのビジネスユニットがWindows 2000フォレスト自体を実行していて、すぐには更新できないということですが、フォレストにはまだしばらく時間がかかるため、共存する方法を見つける必要があります。アーキテクチャ（AD構造定義など）はフォレスト全体で共有されていることを忘れないでくださいアーキテクチャを頻繁に変更する場合は、必要なときにのみ中心を変更するように、これらを別々のフォレストで実行する必要があります。森林建築

リソースの分離は、独立したフォレストを設立するもう1つの重要な理由です。たとえば、法的機関の情報を分離する必要があり、保護された契約も分離する必要があります。銀行のようないくつかの業界は、顧客情報を共有するとペナルティを科されます。

Windows 2000のフォレスト2000の信頼

Windows 2000のフォレストでは、Kerberosセキュリティプロトコルによってドメイン間の信頼関係が自動的に確立されます。 Kerberosの重要な機能は信頼配信のサポートです。 AドメインがBドメインを信頼し、BドメインがCドメインを信頼する場合、Aドメインは自動的にCドメインを信頼します。信頼の伝達を覚える簡単な方法は、「あなたの友達は私の友達だ」ということを覚えることです。この機能によりドメインツリーの概念が可能になり、Kerberosチケットの自動配信により、フォレスト内の1つのドメインが他のドメインを自動的に信頼することができます。フォレスト内のKerberosの双方向の信頼は、 "内部信頼"とも呼ばれます。 Windows 2000用のKerberosテクノロジの詳細については、Microsoftのホワイトペーパー「Windows 2000 Kerberos Authentication」（http://www.microsoft.com/windows2000/techinfo/howitworks/security/kerberos.asp）を参照してください。

Windows 2000でのForest 2000の信頼

森の外での信頼関係はより原始的です。 Windows 2000では、Kerberosはフォレスト間で信頼を確立できませんでした。 NT LAN Manager（NTLM）は、他のフォレスト内のNT 4.0ドメインおよびWindows 2000ドメインとの信頼関係を確立します。これらの信頼は「外部信頼」と呼ばれます（3番目の種類の信頼、「高速信頼」は、Kerberosを使用して2つのドメインツリーのサブドメインを直接接続し、パフォーマンスを向上させます）。

外部の信頼には、NT 4.0の信頼と同じ制限があります。外部の信頼は、Kerberosの信頼ほど安全ではなく、通過できません。したがって、すぐにNT 4.0と同じ状況に陥ることになり、すべてのフォレストのすべてのドメインで信頼を維持する必要があります。

Windows 2003のフォレスト信頼

フォレストの信頼は、2つのフォレストルートドメインを接続する一種の信頼です。森林の信頼を利用すると、NTLMの信頼よりも迅速かつ柔軟に、簡単で簡単な方法で友好的な森林を結び付けることができます。フォレストの信頼はNTLMをKerberosに置き換えるので、2つのフォレスト間の信頼は推移的です。たとえば、フォレストAがフォレストBを信頼している場合、フォレストAのすべてのドメインもフォレストBのすべてのドメインを信頼します。ただし、この信頼はフォレスト間では受け継がれず、フォレストAがフォレストBを信頼し、フォレストBがフォレストCを信頼する場合、フォレストAは自動的にフォレストCを信頼しません。これはNTLM信頼ルールと同じですが、ドメインフォレストに合わせて拡大され、NTLM信頼と同様に、一方向または双方向の信頼を確立できます。

フォレストトラストの利点

フォレストトラストの2つの利点は、フォレスト間の認証と承認です。クロスフォレスト認証により、信頼できるフォレスト内のユーザーは、アカウントを繰り返し作成しなくても、信頼できるフォレストのフォレストにログインできます。クロスフォレスト認証を使用すると、信頼されたフォレストのユーザーにアクセス許可を割り当て、フォレストを信頼するリソースや重複したアカウントにアクセスできるようにすることもできます。この動作は、森林のセキュリティ境界を傷つけません。