フォレスト間にわたる信頼性情報の展開

 

適用対象: Windows Server 2012

Windows Server 2012 では、信頼性情報の種類とはその情報が関連付けられているオブジェクトについてのアサーションです。 信頼性情報の種類は、Active directory のフォレストごとに定義されます。 セキュリティ プリンシパルが信頼の境界を横断して信頼されているフォレストのリソースにアクセスする必要があるさまざまなシナリオがあります。Windows Server 2012 のフォレスト間の信頼性情報の変換を使用すると、異なるフォレストとの間を出入りする信頼性情報を変換し、信頼する側のフォレストおよび信頼される側のフォレストで信頼性情報が認識されて受け入れられるようにすることができます。 実際にある信頼性情報変換のシナリオをいくつか示します。

• 信頼する側のフォレストでは、特定の値を含む入力信頼性情報をフィルター処理することにより、特権の昇格に対するガードとして信頼性情報の変換を使用できます。

  また、信頼される側のフォレストが信頼性情報をサポートまたは発行していない場合、信頼する側のフォレストは、信頼の境界を越えて送られてきたプリンシパルに信頼性情報を発行できます。

• 信頼される側のフォレストでは、信頼性情報の変換を使用して、特定の信頼性情報の種類およびと特定の値を持つ信頼性情報が信頼する側のフォレストに送られるのを防ぐことができます。

• また、信頼性情報の変換を使用すると、信頼する側のフォレストと信頼される側のフォレストの間で、異なる信頼性情報の種類をマップできます。 これにより、信頼性情報の種類、信頼性情報の値、またはこの両方を一般化できます。 これを行わない場合は、信頼性情報を使用する前に、フォレスト間でデータを標準化する必要があります。 信頼する側のフォレストと信頼される側のフォレストの間で信頼性情報を一般化すると、IT コストを削減できます。

信頼性情報の変換規則

変換規則言語の構文では、1 つの規則が 2 つの主要な部分に分かれています。一連の条件ステートメントと問題ステートメントです。 各条件ステートメントには、信頼性情報の識別子と条件という 2 つのサブコンポーネントがあります。 問題ステートメントには、キーワード、区切り記号、および問題式が含まれます。 条件ステートメントは信頼性情報の識別子変数から始めることができ、これは一致する入力信頼性情報を表します。 条件では、式を確認します。 入力信頼性情報が条件に一致しない場合、変換エンジンはその問題ステートメントを無視し、次の入力信頼性情報を変換ルールに対して評価します。 すべての条件が入力信頼性情報と一致する場合、問題ステートメントが処理されます。

信頼性情報規則言語の詳細については、「クレーム変換規則言語」をご覧ください。

フォレストへの信頼性情報変換ポリシーのリンク

信頼性情報変換ポリシーの設定には、信頼性情報変換ポリシー オブジェクトと変換リンクという 2 つのコンポーネントが関係します。 ポリシー オブジェクトはフォレストの構成名前付けコンテキストに存在し、信頼性情報のマッピング情報が含まれています。 リンクでは、マッピングが適用される信頼する側のフォレストと信頼される側のフォレストが指定されています。

変換ポリシー オブジェクトをリンクするための基礎なので、フォレストが信頼する側なのか信頼される側なのかを理解することが重要です。 たとえば、信頼される側のフォレストは、アクセスが必要なユーザー アカウントを含むフォレストです。 信頼する側のフォレストは、ユーザー アクセスを提供するリソースが含まれているフォレストです。 信頼性情報は、アクセスを必要とするセキュリティ プリンシパルと同じ方向に移動します。 たとえば、contoso.com フォレストから adatum.com フォレストへの一方向の信頼がある場合、信頼性情報は adatum.com から contoso.com に送られて、adatum.com のユーザーが contoso.com のリソースにアクセスできるようになります。

既定では、信頼される側のフォレストはすべての出力方向の信頼性情報の通過を許可し、信頼される側のフォレストは受信したすべての信頼性情報をドロップします。

このシナリオの内容

次に、このシナリオで使用可能なガイダンスを示します。

• 複数フォレスト (デモンストレーション手順) 間でのクレームを展開します。

• クレーム変換規則言語

このシナリオに含まれている役割と機能

次の表で、このシナリオに含まれている役割と機能を紹介すると共に、それをシナリオに活かす方法について説明します。

役割/機能	このシナリオのサポート方法
Active Directory ドメイン サービス	このシナリオでは、2 つの Active Directory フォレストと双方向の信頼を設定する必要があります。 両方のフォレストに信頼性情報があります。 さらに、リソースが置かれている信頼する側のフォレストに集約型アクセス ポリシーを設定します。
ファイル サービスおよび記憶域サービスの役割	このシナリオでは、データの分類がファイル サーバー上のリソースに適用されます。 集約型アクセス ポリシーは、ユーザーのアクセスを許可するフォルダーに適用されます。 変換後、信頼性情報は、ファイル サーバー上のフォルダーに適用される集約型アクセス ポリシーに基づいてリソースへのユーザー アクセスを許可します。