AD DS のフォレストとドメインの定義

  • 10 分

AD DS フォレストは、1 つ以上の AD DS ドメインを含む 1 つ以上の AD DS ツリーのコレクションです。 フォレスト内のドメインは以下を共有します。

  • 共通のルート。
  • 共通のスキーマ。
  • グローバル カタログ。

AD DS ドメインは、次のようなオブジェクトの論理的な管理コンテナーです。

  • ユーザー
  • グループ
  • [Computers (コンピューター)]

AD DS フォレストとは

フォレストは、AD DS の最上位のコンテナーです。 各フォレストは、共通のディレクトリ スキーマとグローバル カタログを共有する 1 つ以上のドメイン ツリーのコレクションです。 ドメイン ツリーは、連続した名前空間を共有する 1 つ以上のドメインのコレクションです。 フォレスト ルート ドメインは、フォレスト内に作成する最初のドメインです。

フォレスト ルート ドメインには、フォレスト内の他のドメインには存在しないオブジェクトが含まれています。 これらのオブジェクトは常に最初のドメイン コントローラーに作成されるため、フォレストは、1 つのドメイン コントローラーを持つ 1 つのドメインで構成されることもあれば、複数のドメイン ツリーにまたがる複数のドメインで構成されることもあります。

次の図では、フォレスト ルート ドメインとして Contoso.com が示されています。 その下には 2 つのドメインがあります。別のツリーの Adatum.com と、Contoso.com の子である Seattle.Contoso.com です。

A graphic that displays a hierarchy of domains as described in the preceding text.

フォレスト ルート ドメインには、次のオブジェクトが存在します。

  • スキーマ マスター ロール。
  • ドメイン名前付けマスター ロール。
  • Enterprise Admins グループ。
  • Schema Admins グループ。

注意

スキーマとドメインの名前付けマスター ロールは、まず作成した最初のドメイン コントローラーのルート ドメインに割り当てられますが、フォレスト内の任意の場所にある他のドメイン コントローラーに移動できます。

AD DS フォレストは、多くの場合、次のように説明されます。

  • セキュリティ境界。 既定では、フォレスト外のユーザーはフォレスト内のリソースにアクセスできません。 さらに、フォレスト内のすべてのドメインは、フォレスト内の他のドメインを自動的に信頼します。 これにより、ユーザーが属するドメインに関係なく、フォレスト内のすべてのユーザーがリソースに簡単にアクセスできます。
  • レプリケーション境界。 AD DS フォレストは、AD DS データベースの構成パーティションとスキーマ パーティションにとってのレプリケーション境界です。 そのため、互換性のないスキーマを持つアプリケーションを組織でデプロイするには、追加のフォレストをデプロイする必要があります。 フォレストは、グローバル カタログのレプリケーション境界でもあります。 グローバル カタログにより、フォレスト内の任意のドメインからオブジェクトを見つけられるようになります。

ヒント

通常、組織が作成するのは 1 つのフォレストのみです。

各ドメイン (フォレスト ルートを含む) には、以下のオブジェクトが存在します。

  • RID マスター ロール。
  • インフラストラクチャ マスター ロール。
  • PDC エミュレーター マスター ロール。
  • Domain Admins グループ。

AD DS ドメインとは

AD DS ドメインは、ユーザー、コンピューター、グループ、およびその他のオブジェクトを管理するための論理コンテナーです。 AD DS データベースにはすべてのドメイン オブジェクトが格納され、各ドメイン コントローラーにはデータベースのコピーが格納されています。

次の図は、AD DS ドメインを示しています。 これにはユーザー、コンピューター、およびグループが含まれています。

A graphic that displays a AD DS domain containing users, computers, and groups.

最も一般的に使用されるオブジェクトを次の表に示します。

Object

説明

ユーザー アカウント

ユーザー アカウントには、サインイン プロセス中にユーザーを認証し、ユーザーのアクセス トークンを構築するために必要な情報など、ユーザーに関する情報が含まれています。

コンピューター アカウント

ドメインに参加している各コンピューターは、AD DS 内にアカウントを持っています。 ドメインに参加しているコンピューターのコンピューター アカウントは、ユーザーのユーザー アカウントと同じように使用できます。

グループ

グループを使ってユーザーまたはコンピューターを整理すると、ドメイン内のアクセス許可とグループ ポリシー オブジェクトの管理が簡単になります。

注意

AD DS では、1 つのドメインに約 20 億個のオブジェクトを含めることができます。 つまり、ほとんどの組織は 1 つのドメインを展開するだけで済みます。

AD DS ドメインは、多くの場合、次のように説明されます。

  • レプリケーション境界。 ドメイン内のオブジェクトに変更を加えると、変更が発生したドメイン コントローラーによって、その変更がドメイン内の他のすべてのドメイン コントローラーにレプリケートされます。 フォレストに複数のドメインが存在する場合、変更のサブセットのみが他のドメインにレプリケートされます。 AD DS には、すべてのドメイン コントローラーがドメイン内のオブジェクトに変更を加えることができるマルチマスター レプリケーション モデルが使用されています。
  • 管理単位。 AD DS ドメインには、Administrator アカウントと Domain Admins グループが含まれています。 既定で、Administrator アカウントは Domain Admins グループのメンバーであり、Domain Admins グループはドメインに参加しているコンピューターのすべてのローカル Administrators グループのメンバーです。 また、既定では、Domain Admins グループのメンバーはドメイン内のすべてのオブジェクトを完全に制御できます。

注意

フォレスト ルート ドメインの Administrator アカウントには、追加の権限があります。

AD DS ドメインには以下の機能があります。

  • 認証。 ドメインに参加しているコンピューターが起動するか、ドメインに参加しているコンピューターにユーザーがサインインするたびに、AD DS によって認証します。 認証により、資格情報が検証され、コンピューターまたはユーザーが AD DS に適切な ID を持っていることが確認されます。
  • 承認。 承認とアクセス制御のテクノロジを使用して、認証されたユーザーにリソースへのアクセスを許可するかどうかが Windows によって決定されます。

ヒント

分散型の管理構造または複数の場所を持つ組織の場合、管理上のニーズに対応するために、同じフォレストに複数のドメインを実装することを検討する場合があります。

信頼関係とは

AD DS の信頼により、複雑な AD DS 環境のリソースにアクセスできるようになります。 1 つのドメインを展開すると、ドメイン内のリソースへのアクセスをドメインのユーザーとグループに簡単に許可できます。 複数のドメインまたはフォレストを実装する場合、リソースに対して同じアクセスを可能にするには、適切な信頼が設定されていることを確認する必要があります。

複数ドメインの AD DS フォレストの場合、双方向の推移的な信頼関係が AD DS ドメイン間で自動的に生成されるため、すべての AD DS ドメイン間に信頼のパスが存在します。

注意

フォレスト内に自動的に作成される信頼はすべて推移的な信頼です。つまり、ドメイン A がドメイン B を信頼し、ドメイン B がドメイン C を信頼する場合、ドメイン A はドメイン C を信頼します。

他の種類の信頼を展開することもできます。 次の表では、信頼の主な種類について説明します。

信頼の種類

説明

方向

説明

親と子

推移性

双方向

新しい AD DS ドメインを既存の AD DS ツリーに追加すると、新しい親と子の信頼が作成されます。

ツリールート

推移性

双方向

既存の AD DS フォレストに新しい AD DS ツリーを作成すると、新しいツリールートの信頼が自動的に作成されます。

外部

非推移性

一方向または双方向

外部の信頼により、別のフォレスト内の Windows NT 4.0 ドメインまたは AD DS ドメインとのリソース アクセスが可能になります。 これらを設定して、移行のフレームワークを提供することもできます。

Realm

推移性または非推移性

一方向または双方向

領域の信頼により、Windows Server AD DS ドメインと、AD DS 以外のディレクトリ サービスを使用して実装された Kerberos バージョン 5 (v5) プロトコル領域との間に認証パスが確立されます。

フォレスト (完全または選択的)

推移性

一方向または双方向

AD DS フォレスト間に信頼があると、2 つのフォレストでリソースを共有することができます。

ショートカット

非推移性

一方向または双方向

ショートカットの信頼を構成すると、AD DS フォレストのさまざまな部分にある AD DS ドメイン間の認証にかかる時間を短縮できます。 既定では、ショートカットの信頼は存在しないため、必要に応じて管理者が作成する必要があります。

同じフォレスト内、フォレスト間、または外部領域を使用してドメイン間で信頼を設定すると、推移性や種類などの信頼の情報を格納するために、Windows Server により、信頼される側のドメイン オブジェクトが AD DS に作成されます。 この信頼される側のドメイン オブジェクトは、Windows Server により、AD DS のシステム コンテナーに格納されます。