Windows Server 2003のツリー間信頼関係

異なるフォレストのリソースにアクセスするには、システム管理者が手動で信頼関係を構成する必要があります。 Windows 2000には、異なるフォレストのドメイン間で一方向の非推移的な信頼を構成する機能があります。異なるフォレスト内の各ドメイン間に対応する信頼関係を構成する必要があります。双方向の信頼関係の場合は、残りの半分を手動で設定する必要があります。

Windows Server 2003では、フォレスト間の信頼関係を簡単に構成できます。 Informitのこの記事では、信頼関係についての質問を調べます。つまり、Windows Server 2003フォレスト機能レベルで実行されているフォレストでは、それに関連付けられているすべてのドメインで双方向の推移的な信頼関係を構成できます。それが他の機能レベルのフォレストである場合は、Windows 2000の場合と同様に明示的な信頼を構成する必要があります。

Windows Server 2003では、次の集中フォレスト間信頼が導入されています。

。外部の信頼：この一方向の信頼は、Windows 2000と同様に、異なるフォレスト内のドメイン間で確立された単一の信頼関係です。彼らはどんな森林機能レベルでも走ることができる。この信頼は、異なるフォレスト内の2つの特定ドメイン間でリソースを共有したいだけの場合に使用できます。この信頼関係は、Active DirectoryドメインとWindows NT 4.0ドメイン間でも使用できます。

フォレストの信頼：前述のように、これらの信頼には関連するフォレスト内のすべてのドメイン間の完全な信頼関係が含まれているため、これらのリソースを共有できます。この信頼関係は一方向または双方向にすることができます。両方のツリーは、Windows Server 2003フォレスト機能レベルで実行されている必要があります。森林の信頼には次のような点があります。

1。リソース共有に必要な外部信頼の量を減らし、リソース管理を簡素化します。

2。 UPNにはより広い範囲の認証があり、システム管理者は他のフォレストの管理者から共同承認を分離することができます。

3。各フォレストのActive Directoryの複製は別々です。新しいドメインの追加やパターンの変更など、森の中での構成の変更は、信頼できる他のフォレストに影響を与えることなく、それらが動作するフォレストにのみ影響します。

4。より信頼性の高い認証データを提供してください。管理者は、ツリー間で認証データを渡すときにKerberosおよびNTLM認証プロトコルを利用できます。

レルムドメインの信頼：これは、UnixおよびMITオペレーティングシステムのActive DirectoryドメインとKerberos V5ドメインの間に確立された一方向の非推移的な信頼です。