Windows 2000のActive Directory構造

前の記事でActive Directoryについての基本的な知識を得た後は、Active Directoryの物理的側面について説明します。前回の記事では、Active Directoryについて説明しました。これには、ディレクトリサービスとディレクトリ関連サービスの2つの側面が含まれています。ディレクトリとは、さまざまなオブジェクトを格納するための物理的なコンテナであり、通常のものと変わりはありませんディレクトリ管理の基本的なオブジェクトは、ユーザー、コンピュータ、ファイル、プリンタなどのリソースです。ディレクトリサービスは、ユーザーとリソースの管理、ディレクトリベースのネットワークサービス、ネットワークベースのアプリケーション管理など、ディレクトリ内のすべての情報とリソースを機能させるサービスで、WIN2K Active Directoryの重要な要素です。ディレクトリサービスはWIN2Kネットワークオペレーティングシステムと中央管理組織の中心的な柱であるため、ディレクトリサービスの導入は、ネットワークセキュリティメカニズムやユーザー管理モジュールなど、システムプラットフォーム上の基本モジュールだけでなく、オペレーティングシステム全体に革命的な変化をもたらしました。変更が行われ、それに応じて上位アプリケーションの動作方法と開発モデルが変更されました。この「Active Directory」を理解しやすいと思いますか。

同時Active Directoryは分散ディレクトリサービスです。情報が複数の異なるコンピュータに分散されるため、ユーザーのアクセス先や情報の場所に関係なく、各コンピュータユーザーの高速アクセスとフォールトトレランスが保証されます。ユーザーは統一されたビューを提供し、ユーザーがWIN2Kシステムの使用方法を理解し習得するのを容易にします。 Active Directoryは、ドメインネームサービス（DNS）、メッセージキューサービス（MSMQ）、およびトランザクションサービス（MTS）などのWIN2Kサーバーの主要サービスを統合しています。アプリケーションに関しては、Active Directoryは電子メール、ネットワーク管理、ERPなどの主要アプリケーションを統合しています。 Active Directoryを理解するには、まず論理構造と物理構造から始める必要があります。

まず、Active Directoryの論理構造

' Logic' 2つの単語は、「論理的思考、論理的分析」などとよく言われるように、通常はもっと見ることができると考えています。おそらく、誰もが「論理」という言葉は非常に抽象的で理解が難しいと言っています。実際、私たちがここで話しているのは「論理構造」です、それはまだ非常によく理解されていると思います、「論理」は一般的に「物理的」と同等です。実際には、「論理的に」は非物理的なもの、非物理的なものを意味するのではなく、一種の「関係」、「空間」、範囲などの抽象的なものです。 'など最初の記事では、ディレクトリツリー、ドメイン、ドメインツリー、ドメインフォレストなど、柔軟性の高いActive Directoryの論理構造について説明しました。これらの名前は実際のエンティティではなく、関係、スコープを表しています。たとえば、ディレクトリツリーは同じ名前空間上のディレクトリで構成され、ドメインは異なるディレクトリツリーで構成され、同じドメインツリーは異なるドメインで構成され、ドメインフォレストは複数のドメインツリーで構成されます。それらは完全なツリーのような階層的なビューであり、動的な関係として見ることができます。論理構造は、前述のネームスペースとも直接関係しており、ユーザーおよび管理者が特定のネームスペース内のオブジェクトを見つけて見つけるのに非常に便利です。 Active Directory内の論理ユニットには、主に次のものが含まれます。

1.ドメイン、ドメインツリー、ドメインフォレスト

ドメインは、WIN2Kネットワークシステムの論理的な組織単位であり、オブジェクトです（コンピュータ、ユーザーなど）。コンテナ、これらのオブジェクトには同じセキュリティ要件、複製プロセス、および管理があります。これはネットワーク管理者にとって理解しやすいものです。 WIN2Kドメイン内のすべてのドメインコントローラが等しい（これはWINNT4.0と同じではない、プライマリまたはセカンダリがない）、ドメインはセキュリティ境界であり、ドメイン管理者は他の場合を除き、ドメインの内部のみを管理できます。ドメインは、他のドメインにアクセスしたり管理したりする前に、明示的に彼に管理特権を付与します。各ドメインには、独自のセキュリティポリシーと他のドメインとのセキュリティ信頼関係があります。ここで私たちは異なるドメイン間の信頼関係と移転関係に関わっていますWIN2Kにおけるドメイン信頼関係について話しましょう。

ドメインとドメインとの間には一定の信頼関係があるドメイン信頼関係により、あるドメイン内のユーザーが別のドメインにアクセスするために、そのドメイン内のユーザーが別のドメイン内のドメインコントローラーによって認証されるようになります。リソースすべてのドメインの信頼関係には、信頼関係ドメインと信頼関係ドメインの2つのドメインしかありません。信頼関係とは、ドメインAがドメインBを信頼し、ドメインAのドメインコントローラが認証されると、ドメインBのユーザーがドメインAのリソースにアクセスできることを意味します。信頼関係は、ドメインによって信頼されている関係であり、上記の例では、ドメインBはドメインAによって信頼されており、ドメインBとドメインAの間の関係は信頼関係です。信頼と信頼の関係は一方向でも双方向でもかまいません。つまり、ドメインAとドメインBの間の関係は一方的でも、双方向の信頼関係でもかまいません。

ドメイン内で信頼関係を渡すことが、関係内の2つのドメインによって制約されていない場合、ドメインAがドメインBを信頼している場合は、親ドメインからドメインディレクトリツリー内の次のドメインに渡されます。また、ドメインAはサブドメインドメインB1、ドメインB 2をドメインBの下に信頼します。中継信頼関係は常に双方向です。関係内の2つのドメインは相互に信頼します（親ドメインと子ドメインの間を指します）。既定では、ドメインディレクトリツリーまたはフォレスト（フォレストは同じドメイン内の複数のディレクトリツリーと見なすことができます）内のすべてのWiIN2K信頼関係が渡されます。これにより、管理が必要な委任関係の数が大幅に減るため、ドメイン管理が大幅に簡素化されます。