設計要件のフォレスト設計モデルへのマッピングMapping Design Requirements to Forest Design Models

適用先:Windows Server 2016 では、Windows Server 2012 R2、Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

組織内のほとんどのグループは、単一の情報技術 (IT) グループによって管理され、フォレストを共有するすべてのグループのユーザーアカウントとリソースを含む単一の組織フォレストを共有できます。Most groups in your organization can share a single organizational forest that is managed by a single information technology (IT) group and that contains the user accounts and resources for all of the groups that share the forest. 最初の組織フォレストと呼ばれるこの共有フォレストは、組織のフォレスト設計モデルの基礎となります。This shared forest, called the initial organizational forest, is the foundation of the forest design model for the organization.

最初の組織フォレストは組織内の複数のグループをホストできるため、フォレスト所有者は各グループのサービスレベルアグリーメントを確立する必要があります。これにより、すべてのパーティが想定しているものを理解できるようになります。Because the initial organizational forest can host multiple groups in the organization, the forest owner must establish service level agreements with each group so that all the parties understand what is expected of them. これにより、合意されたサービスの期待を確立することで、個々のグループとフォレスト所有者の両方が保護されます。This protects both the individual groups and the forest owner by establishing agreed-on service expectations.

組織内のすべてのグループが1つの組織フォレストを共有できるわけではない場合は、異なるグループのニーズに合わせてフォレストの設計を拡張する必要があります。If not all of the groups in your organization can share a single organizational forest, you must expand your forest design to accommodate the needs of the different groups. これには、自律性と分離のニーズに基づいて、グループに適用される設計要件の特定、制限付き接続ネットワークがあるかどうか、およびこれらの要件に対応するために使用できるフォレストモデルの特定が含まれます。This involves identifying the design requirements that apply to the groups based on their needs for autonomy and isolation and whether or not they have a limited-connectivity network, and then identifying the forest model that you can use to accommodate those requirements. 次の表に、自律性、分離、および接続の要因に基づくフォレストの設計モデルのシナリオを示します。The following table lists forest design model scenarios based on the autonomy, isolation, and connectivity factors. 要件に最も合ったフォレストの設計シナリオを特定したら、設計仕様を満たすために追加の決定を行う必要があるかどうかを判断します。After you identify the forest design scenario that best matches your requirements, determine if you need to make any additional decisions to meet your design specifications.

注意

要因が N/A として示されている場合は、他の要件にも対応しているため、考慮されません。If a factor is listed as N/A, it is not a consideration because other requirements also accommodate that factor.

シナリオScenario 接続の制限Limited connectivity データの分離Data isolation データ自律性Data autonomy サービスの分離Service isolation サービスの自立性Service autonomy
シナリオ 1: データ自律性のために既存のフォレストに参加するScenario 1: Join an existing forest for data autonomy いいえNo いいえNo はいYes いいえNo いいえNo
シナリオ 2: サービス自律性のために組織のフォレストまたはドメインを使用するScenario 2: Use an organizational forest or domain for service autonomy いいえNo いいえNo 該当なしN/A いいえNo はいYes
シナリオ 3: サービスの分離に組織のフォレストまたはリソースフォレストを使用するScenario 3: Use an organizational forest or resource forest for service isolation いいえNo いいえNo 該当なしN/A はいYes 該当なしN/A
シナリオ 4: データの分離に組織フォレストまたは制限付きアクセスフォレストを使用するScenario 4: Use an organizational forest or restricted access forest for data isolation 該当なしN/A はいYes 該当なしN/A 該当なしN/A 該当なしN/A
シナリオ 5: 組織のフォレストを使用するか、ファイアウォールを構成して接続を制限するScenario 5: Use an organizational forest, or reconfigure the firewall for limited connectivity はいYes いいえNo 該当なしN/A いいえNo いいえNo
シナリオ 6: 組織のフォレストまたはドメインを使用し、接続が制限されたサービスの自立性のためにファイアウォールを再構成するScenario 6: Use an organizational forest or domain, and reconfigure the firewall for service autonomy with limited connectivity はいYes いいえNo 該当なしN/A いいえNo はいYes
シナリオ 7: リソースフォレストを使用し、接続が制限されたサービスの分離のためにファイアウォールを再構成するScenario 7: Use a resource forest, and reconfigure the firewall for service isolation with limited connectivity はいYes いいえNo 該当なしN/A はいYes 該当なしN/A

シナリオ 1: データ自律性のために既存のフォレストに参加するScenario 1: Join an existing forest for data autonomy

既存の組織フォレスト内の組織単位 (Ou) でグループをホストするだけで、データ自律性の要件を満たすことができます。You can meet a requirement for data autonomy simply by hosting the group in organizational units (OUs) in an existing organizational forest. Ou の制御を、そのグループのデータ管理者に委任して、データ自律性を実現します。Delegate control over the OUs to data administrators from that group to achieve data autonomy. Ou を使用した制御の委任の詳細については、「 組織単位の設計を作成する」を参照してください。For more information about delegating control by using OUs, see Creating an Organizational Unit Design.

シナリオ 2: サービス自律性のために組織のフォレストまたはドメインを使用するScenario 2: Use an organizational forest or domain for service autonomy

組織内のグループがサービスの自立性を要件として特定する場合は、最初にこの要件を再検討することをお勧めします。If a group in your organization identifies service autonomy as a requirement, we recommend that you first reconsider this requirement. サービス自律性を実現することで、管理のオーバーヘッドが増え、組織のコストも増加します。Achieving service autonomy creates more management overhead and additional costs for the organization. サービス自律性の要件が単に便宜上ではなく、この要件を満たすために必要なコストを正当化できることを確認します。Ensure that the requirement for service autonomy is not simply for convenience and that you can justify the costs involved in meeting this requirement.

次のいずれかの方法で、サービス自律性の要件を満たすことができます。You can meet a requirement for service autonomy by doing one of the following:

  • 組織フォレストを作成しています。Creating an organizational forest. サービスの自立性が必要なグループのユーザー、グループ、およびコンピューターを別の組織フォレストに配置します。Place the users, groups, and computers for the group that requires service autonomy into a separate organizational forest. そのグループのユーザーを、フォレストの所有者として割り当てます。Assign an individual from that group to be the forest owner. グループが組織内の他のフォレストとリソースにアクセスしたり、リソースを共有したりする必要がある場合は、組織のフォレストと他のフォレストとの間に信頼関係を確立することができます。If the group needs to access or share resources with other forests in the organization, they can establish a trust between their organizational forest and the other forests.

  • 組織のドメインを使用する。Using organizational domains. ユーザー、グループ、およびコンピューターを既存の組織フォレスト内の別のドメインに配置します。Place the users, groups, and computers in a separate domain in an existing organizational forest. このモデルは、完全なサービスの自律性、サービスの分離、またはデータの分離についてではなく、ドメインレベルのサービスの自立性のみを実現します。This model provides for domain-level service autonomy only and not for full service autonomy, service isolation, or data isolation.

組織のドメインの使用方法の詳細については、「 組織のドメインフォレストモデルの使用」を参照してください。For more information about using organizational domains, see Using the Organizational Domain Forest Model.

シナリオ 3: サービスの分離に組織のフォレストまたはリソースフォレストを使用するScenario 3: Use an organizational forest or resource forest for service isolation

サービスの分離の要件を満たすには、次のいずれかの操作を行います。You can meet a requirement for service isolation by doing one of the following:

  • 組織フォレストを使用します。Using an organizational forest. サービスを分離する必要があるグループのユーザー、グループ、およびコンピューターを別の組織フォレストに配置します。Place the users, groups, and computers for the group that requires service isolation into a separate organizational forest. そのグループのユーザーを、フォレストの所有者として割り当てます。Assign an individual from that group to be the forest owner. グループが組織内の他のフォレストとリソースにアクセスしたり、リソースを共有したりする必要がある場合は、組織のフォレストと他のフォレストとの間に信頼関係を確立することができます。If the group needs to access or share resources with other forests in the organization, they can establish a trust between their organizational forest and the other forests. ただし、ユニバーサルグループを使用したリソースへのアクセスは、フォレストの信頼のシナリオでは非常に制限されているため、この方法はお勧めしません。However, we do not recommend this approach because resource access through universal groups is heavily restricted in forest trust scenarios.

  • リソースフォレストを使用します。Using a resource forest. リソースとサービスアカウントを別のリソースフォレストに配置し、ユーザーアカウントを既存の組織フォレストに保持します。Place resources and service accounts into a separate resource forest, keeping user accounts in an existing organizational forest. 必要に応じて、組織のフォレストが使用できなくなった場合にリソースフォレスト内のリソースにアクセスするために、リソースフォレストに代替アカウントを作成できます。If necessary, alternate accounts can be created in the resource forest to access resources in the resource forest if the organizational forest becomes unavailable. 代替アカウントは、組織のフォレストがオンラインに戻るまで、リソースフォレストにログオンし、リソースの制御を維持するために必要な権限を持っている必要があります。The alternate accounts must have the authority required to log on to the resource forest and maintain control of the resources until the organizational forest is back online.

    通常のユーザーアカウントを使用している間に、ユーザーがフォレスト内のリソースにアクセスできるように、リソースと組織のフォレスト間に信頼関係を確立します。Establish a trust between the resource and organizational forests, so that the users can access the resources in the forest while using their regular user accounts. この構成を使用すると、組織のフォレストが使用できなくなった場合に、ユーザーアカウントを集中管理しながら、リソースフォレスト内の代替アカウントにフォールバックすることができます。This configuration enables centralized management of user accounts while allowing users to fall back to alternate accounts in the resource forest if the organizational forest becomes unavailable.

サービスの分離に関する考慮事項は次のとおりです。Considerations for service isolation include the following:

  • サービスの分離のために作成されたフォレストは、他のフォレストのドメインを信頼できますが、そのサービス管理者グループ内の他のフォレストのユーザーを含めることはできません。Forests created for service isolation can trust domains from other forests but must not include users from other forests in their service administrators groups. 他のフォレストのユーザーが、分離されたフォレストの管理グループに含まれている場合、フォレスト内のサービス管理者には排他的な制御がないため、分離されたフォレストのセキュリティが侵害される可能性があります。If users from other forests are included in administrative groups in the isolated forest, the security of the isolated forest potentially can be compromised because the service administrators in the forest do not have exclusive control.

  • ネットワーク上のドメインコントローラーにアクセスできる限り、そのネットワーク上の悪意のあるソフトウェアからの攻撃 (サービス拒否攻撃など) の対象となります。As long as domain controllers are accessible on a network, they are subject to attacks (such as denial-of-service attacks) from malicious software on that network. 攻撃の可能性を防ぐために、次の操作を行うことができます。You can do the following to protect against the possibility of an attack:

    • セキュリティで保護されていると見なされるネットワーク上でのみ、ドメインコントローラーをホストします。Host domain controllers only on networks that are considered secure.

    • ドメインコントローラーをホストしているネットワークまたはネットワークへのアクセスを制限します。Limit access to the network or networks hosting the domain controllers.

  • サービスの分離には、追加のフォレストを作成する必要があります。Service isolation requires the creation of an additional forest. 追加のフォレストをサポートするためにインフラストラクチャを維持するコストが、組織のフォレストが使用できなくなったことによるリソースへのアクセスの損失に伴うコストを上回るかどうかを評価します。Evaluate whether the cost of maintaining the infrastructure to support the additional forest outweighs the costs associated with loss of access to resources due to an organizational forest being unavailable.

シナリオ 4: データの分離に組織フォレストまたは制限付きアクセスフォレストを使用するScenario 4: Use an organizational forest or restricted access forest for data isolation

データの分離を実現するには、次のいずれかの操作を行います。You can achieve data isolation by doing one of the following:

  • 組織フォレストを使用します。Using an organizational forest. データを分離する必要があるグループのユーザー、グループ、およびコンピューターを別の組織フォレストに配置します。Place the users, groups, and computers for the group that requires data isolation into a separate organizational forest. そのグループのユーザーを、フォレストの所有者として割り当てます。Assign an individual from that group to be the forest owner. グループが組織内の他のフォレストとリソースにアクセスしたり、リソースを共有したりする必要がある場合は、組織のフォレストと他のフォレストとの間に信頼関係を確立します。If the group needs to access or share resources with other forests in the organization, establish a trust between the organizational forest and the other forests. 新しい組織フォレストには、分類された情報へのアクセスを必要とするユーザーのみが存在します。Only the users who require access to the classified information exist in the new organizational forest. ユーザーは、信頼関係によって、自分のフォレスト内の分類されたデータと他のフォレストの未分類のデータの両方にアクセスするために使用する1つのアカウントを持っています。Users have one account that they use to access both classified data in their own forest and unclassified data in other forests by means of trust relationships.

  • 制限付きアクセスフォレストを使用する。Using a restricted access forest. これは、制限されたデータとそのデータにアクセスするために使用されるユーザーアカウントを含む別のフォレストです。This is a separate forest that contains the restricted data and the user accounts that are used to access that data. ネットワーク上の無制限のリソースにアクセスするために使用される既存の組織フォレストには、個別のユーザーアカウントが保持されます。Separate user accounts are maintained in the existing organizational forests that are used to access the unrestricted resources on the network. 制限付きアクセスフォレストと企業内の他のフォレストとの間に信頼関係は作成されません。No trusts are created between the restricted access forest and other forests in the enterprise. 別の物理ネットワークにフォレストを展開し、他のフォレストに接続できないようにすることで、フォレストをさらに制限することができます。You can further restrict the forest by deploying the forest on a separate physical network, so that it cannot connect to other forests. フォレストを別のネットワークに展開する場合、ユーザーには、制限されたフォレストにアクセスするためのワークステーションと、ネットワークの制限されていない領域にアクセスするためのワークステーションの2つが必要です。If you deploy the forest on a separate network, users must have two workstations: one for accessing the restricted forest and one for accessing the non-restricted areas of the network.

データの分離のためにフォレストを作成する際の考慮事項は次のとおりです。Considerations for creating forests for data isolation include the following:

  • データの分離のために作成された組織フォレストは、他のフォレストのドメインを信頼できますが、他のフォレストのユーザーは、次のいずれにも含めないでください。Organizational forests created for data isolation can trust domains from other forests, but users from other forests must not be included in any of the following:

    • サービス管理者グループのメンバーシップを管理できるサービス管理またはグループを担当するグループGroups responsible for service management or groups that can manage the membership of service administrator groups

    • 保護されたデータを保存するコンピューターを管理者が制御するグループGroups that have administrative control over computers that store protected data

    • 保護されたデータへのアクセス権を持つユーザーオブジェクトまたはグループオブジェクトの管理を担当する、保護されたデータまたはグループへのアクセス権を持つグループGroups that have access to protected data or groups that are responsible for the management of user objects or group objects that have access to protected data

      他のフォレストのユーザーがこれらのグループのいずれかに含まれている場合、他のフォレストのセキュリティが侵害されると、分離されたフォレストが侵害され、保護されたデータが漏えいする可能性があります。If users from another forest are included in any of these groups, a compromise of the other forest might lead to a compromise of the isolated forest and to disclosure of protected data.

  • 他のフォレストは、分離されたフォレストのユーザーが他のフォレストのリソースにアクセスできるように、データの分離のために作成された組織フォレストを信頼するように構成できます。Other forests can be configured to trust the organizational forest created for data isolation so that users in the isolated forest can access resources in other forests. ただし、分離されたフォレストのユーザーは、信頼する側のフォレストのワークステーションに対話的にログオンすることはできません。However, users from the isolated forest must never interactively log on to workstations in the trusting forest. 信頼する側のフォレストにあるコンピューターは、悪意のあるソフトウェアによって侵害される可能性があり、ユーザーのログオン資格情報をキャプチャするために使用できます。The computer in the trusting forest can potentially be compromised by malicious software and can be used to capture the logon credentials of the user.

    注意

    信頼する側のフォレストのサーバーが分離されたフォレストのユーザーを偽装してから、分離されたフォレストのリソースにアクセスできないようにするには、フォレスト所有者が委任された認証を無効にするか、制約付き委任機能を使用します。To prevent servers in a trusting forest from impersonating users from the isolated forest, and then accessing resources in the isolated forest, the forest owner can disable delegated authentication or use the constrained delegation feature. 委任された認証と制約付き委任の詳細については、「 認証を委任する」を参照してください。For more information about delegated authentication and constrained delegation, see Delegating authentication.

  • 場合によっては、組織のフォレストと組織内の他のフォレストとの間にファイアウォールを確立して、ユーザーのアクセスをフォレスト外の情報に制限する必要があります。You might need to establish a firewall between the organizational forest and the other forests in the organization to limit user access to information outside of their forest.

  • 別のフォレストを作成すると、分離されたフォレストのドメインコントローラーと保護された情報をホストするコンピューターがネットワーク上でアクセスできる限り、そのネットワーク上のコンピューターから攻撃を受ける可能性があります。Although creating a separate forest enables data isolation, as long as the domain controllers in the isolated forest and computers that host protected information are accessible on a network, they are subject to attacks launched from computers on that network. 攻撃のリスクが高いと判断した場合、または攻撃やセキュリティ違反の結果が大きすぎる場合は、ドメインコントローラーをホストしているネットワークや、保護されたデータをホストしているコンピューターにアクセスを制限する必要があります。Organizations that decide that the risk of attack is too high or that the consequence of an attack or security violation is too great need to limit access to the network or networks that are hosting the domain controllers and the computers that are hosting protected data. アクセスの制限は、ファイアウォールやインターネットプロトコルセキュリティ (IPsec) などのテクノロジを使用して行うことができます。Limiting access can be done by using technologies such as firewalls and Internet Protocol security (IPsec). 極端なケースでは、組織内の他のネットワークに物理的に接続していない独立したネットワークで保護されたデータを維持することを選択できます。In extreme cases, organizations might choose to maintain the protected data on an independent network that has no physical connection to any other network in the organization.

    注意

    制限付きアクセスフォレストと別のネットワークとの間にネットワーク接続が存在する場合は、制限された領域のデータが他のネットワークに転送される可能性があります。If any network connectivity exists between a restricted access forest and another network, the possibility exists for data in the restricted area to be transmitted to the other network.

シナリオ 5: 組織のフォレストを使用するか、ファイアウォールを構成して接続を制限するScenario 5: Use an organizational forest, or reconfigure the firewall for limited connectivity

限定された接続要件を満たすには、次のいずれかの操作を行います。To meet a limited connectivity requirement, you can do one of the following:

  • ユーザーを既存の組織フォレストに配置し、Active Directory トラフィックの通過を許可するのに十分なファイアウォールを開きます。Place users into an existing organizational forest, and then open the firewall enough to allow Active Directory traffic to pass through.

  • 組織フォレストを使用します。Use an organizational forest. 接続が制限されているグループのユーザー、グループ、およびコンピューターを別の組織フォレストに配置します。Place the users, groups, and computers for the group for which connectivity is limited into a separate organizational forest. そのグループのユーザーを、フォレストの所有者として割り当てます。Assign an individual from that group to be the forest owner. 組織フォレストは、ファイアウォールの反対側に別の環境を提供します。The organizational forest provides a separate environment on the other side of the firewall. フォレストには、ユーザーが毎日のタスクを実行するためにファイアウォールを通過する必要がないように、フォレスト内で管理されているユーザーアカウントとリソースが含まれています。The forest includes user accounts and resources that are managed within the forest, so that users do not need to go through the firewall to accomplish their daily tasks. 特定のユーザーまたはアプリケーションには、他のフォレストに接続するためにファイアウォールを通過する機能を必要とする特別なニーズがある場合があります。Specific users or applications might have special needs that require the capability to pass through the firewall to contact other forests. これらのニーズに個別に対処するには、ファイアウォールの適切なインターフェイスを開きます。これには、すべての信頼が機能するために必要なインターフェイスも含まれます。You can address these needs individually by opening the appropriate interfaces in the firewall, including those necessary for any trusts to function.

Active Directory Domain Services (AD DS) で使用するファイアウォールの構成の詳細については、「 ファイアウォールでセグメント化されたネットワークでの Active Directory」を参照してください。For more information about configuring firewalls for use with Active Directory Domain Services (AD DS), see Active Directory in Networks Segmented by Firewalls.

シナリオ 6: 組織のフォレストまたはドメインを使用し、接続が制限されたサービスの自立性のためにファイアウォールを再構成するScenario 6: Use an organizational forest or domain, and reconfigure the firewall for service autonomy with limited connectivity

組織内のグループがサービスの自立性を要件として特定する場合は、最初にこの要件を再検討することをお勧めします。If a group in your organization identifies service autonomy as a requirement, we recommend that you first reconsider this requirement. サービス自律性を実現することで、管理のオーバーヘッドが増え、組織のコストも増加します。Achieving service autonomy creates more management overhead and additional costs for the organization. サービス自律性の要件が単に便宜上ではなく、この要件を満たすために必要なコストを正当化できることを確認します。Ensure that the requirement for service autonomy is not simply for convenience and that you can justify the costs involved in meeting this requirement.

接続が制限されていて、サービスの自律性の要件がある場合は、次のいずれかの操作を実行できます。If limited connectivity is an issue, and you have a requirement for service autonomy, you can do one of the following:

  • 組織フォレストを使用します。Use an organizational forest. サービスの自立性が必要なグループのユーザー、グループ、およびコンピューターを別の組織フォレストに配置します。Place the users, groups, and computers for the group that requires service autonomy into a separate organizational forest. そのグループのユーザーを、フォレストの所有者として割り当てます。Assign an individual from that group to be the forest owner. 組織フォレストは、ファイアウォールの反対側に別の環境を提供します。The organizational forest provides a separate environment on the other side of the firewall. フォレストには、ユーザーが毎日のタスクを実行するためにファイアウォールを通過する必要がないように、フォレスト内で管理されているユーザーアカウントとリソースが含まれています。The forest includes user accounts and resources that are managed within the forest, so that users do not need to go through the firewall to accomplish their daily tasks. 特定のユーザーまたはアプリケーションには、他のフォレストに接続するためにファイアウォールを通過する機能を必要とする特別なニーズがある場合があります。Specific users or applications might have special needs that require the capability to pass through the firewall to contact other forests. これらのニーズに個別に対処するには、ファイアウォールの適切なインターフェイスを開きます。これには、すべての信頼が機能するために必要なインターフェイスも含まれます。You can address these needs individually by opening the appropriate interfaces in the firewall, including those necessary for any trusts to function.

  • ユーザー、グループ、およびコンピューターを既存の組織フォレスト内の別のドメインに配置します。Place the users, groups, and computers in a separate domain in an existing organizational forest. このモデルは、完全なサービスの自律性、サービスの分離、またはデータの分離についてではなく、ドメインレベルのサービスの自立性のみを実現します。This model provides for domain-level service autonomy only and not for full service autonomy, service isolation, or data isolation. フォレスト内の他のグループは、フォレスト所有者を信頼するのと同じ程度、新しいドメインのサービス管理者を信頼する必要があります。Other groups in the forest must trust the service administrators of the new domain to the same degree that they trust the forest owner. このため、この方法はお勧めしません。For this reason, we do not recommend this approach. 組織のドメインの使用方法の詳細については、「 組織のドメインフォレストモデルの使用」を参照してください。For more information about using organizational domains, see Using the Organizational Domain Forest Model.

また、Active Directory トラフィックの通過を許可するのに十分なファイアウォールを開く必要があります。You also need to open the firewall enough to allow Active Directory traffic to pass through. AD DS で使用するファイアウォールの構成の詳細については、「 ファイアウォールでセグメント化されたネットワークでの Active Directory」を参照してください。For more information about configuring firewalls for use with AD DS, see Active Directory in Networks Segmented by Firewalls.

シナリオ 7: リソースフォレストを使用し、接続が制限されたサービスの分離のためにファイアウォールを再構成するScenario 7: Use a resource forest, and reconfigure the firewall for service isolation with limited connectivity

接続の制限に問題があり、サービスの分離の要件がある場合は、次のいずれかの操作を実行できます。If limited connectivity is an issue, and you have a requirement for service isolation, you can do one of the following:

  • 組織フォレストを使用します。Use an organizational forest. サービスを分離する必要があるグループのユーザー、グループ、およびコンピューターを別の組織フォレストに配置します。Place the users, groups, and computers for the group that requires service isolation into a separate organizational forest. そのグループのユーザーを、フォレストの所有者として割り当てます。Assign an individual from that group to be the forest owner. 組織フォレストは、ファイアウォールの反対側に別の環境を提供します。The organizational forest provides a separate environment on the other side of the firewall. フォレストには、ユーザーが毎日のタスクを実行するためにファイアウォールを通過する必要がないように、フォレスト内で管理されているユーザーアカウントとリソースが含まれています。The forest includes user accounts and resources that are managed within the forest, so that users do not need to go through the firewall to accomplish their daily tasks. 特定のユーザーまたはアプリケーションには、他のフォレストに接続するためにファイアウォールを通過する機能を必要とする特別なニーズがある場合があります。Specific users or applications might have special needs that require the capability to pass through the firewall to contact other forests. これらのニーズに個別に対処するには、ファイアウォールの適切なインターフェイスを開きます。これには、すべての信頼が機能するために必要なインターフェイスも含まれます。You can address these needs individually by opening the appropriate interfaces in the firewall, including those necessary for any trusts to function.

  • リソースフォレストを使用します。Use a resource forest. リソースとサービスアカウントを別のリソースフォレストに配置し、ユーザーアカウントを既存の組織フォレストに保持します。Place resources and service accounts into a separate resource forest, keeping user accounts in an existing organizational forest. 組織のフォレストが使用できなくなった場合は、リソースフォレストへのアクセスを維持するために、リソースフォレストに別のユーザーアカウントを作成することが必要になる場合があります。It might be necessary to create some alternate user accounts in the resource forest to maintain access to the resource forest if the organizational forest becomes unavailable. 代替アカウントは、組織のフォレストがオンラインに戻るまで、リソースフォレストにログオンし、リソースの制御を維持するために必要な権限を持っている必要があります。The alternate accounts must have the authority required to log on to the resource forest and maintain control of the resources until the organizational forest is back online.

    通常のユーザーアカウントを使用している間に、ユーザーがフォレスト内のリソースにアクセスできるように、リソースと組織のフォレスト間に信頼関係を確立します。Establish a trust between the resource and organizational forests, so that the users can access the resources in the forest while using their regular user accounts. この構成を使用すると、組織のフォレストが使用できなくなった場合に、ユーザーアカウントを集中管理しながら、リソースフォレスト内の代替アカウントにフォールバックすることができます。This configuration enables centralized management of user accounts while allowing users to fall back to alternate accounts in the resource forest if the organizational forest becomes unavailable.

サービスの分離に関する考慮事項は次のとおりです。Considerations for service isolation include the following:

  • サービスの分離のために作成されたフォレストは、他のフォレストのドメインを信頼できますが、そのサービス管理者グループ内の他のフォレストのユーザーを含めることはできません。Forests created for service isolation can trust domains from other forests but must not include users from other forests in their service administrators groups. 他のフォレストのユーザーが、分離されたフォレストの管理グループに含まれている場合、フォレスト内のサービス管理者には排他的な制御がないため、分離されたフォレストのセキュリティが侵害される可能性があります。If users from other forests are included in administrative groups in the isolated forest, the security of the isolated forest potentially can be compromised because the service administrators in the forest do not have exclusive control.

  • ネットワーク上のドメインコントローラーにアクセスできる限り、そのネットワーク上のコンピューターからの攻撃 (サービス拒否攻撃など) が適用されます。As long as domain controllers are accessible on a network, they are subject to attacks (such as denial-of-service attacks) from computers on that network. 攻撃の可能性を防ぐために、次の操作を行うことができます。You can do the following to protect against the possibility of an attack:

    • セキュリティで保護されていると見なされるネットワーク上でのみ、ドメインコントローラーをホストします。Host domain controllers only on networks that are considered secure.

    • ドメインコントローラーをホストしているネットワークまたはネットワークへのアクセスを制限します。Limit access to the network or networks hosting the domain controllers.

  • サービスの分離には、追加のフォレストを作成する必要があります。Service isolation requires the creation of an additional forest. 追加のフォレストをサポートするためにインフラストラクチャを維持するコストが、組織のフォレストが使用できなくなったことによるリソースへのアクセスの損失に伴うコストを上回るかどうかを評価します。Evaluate whether the cost of maintaining the infrastructure to support the additional forest outweighs the costs associated with loss of access to resources due to an organizational forest being unavailable.

    特定のユーザーまたはアプリケーションには、他のフォレストに接続するためにファイアウォールを通過する機能を必要とする特別なニーズがある場合があります。Specific users or applications might have special needs that require the capability to pass through the firewall to contact other forests. これらのニーズに個別に対処するには、ファイアウォールの適切なインターフェイスを開きます。これには、すべての信頼が機能するために必要なインターフェイスも含まれます。You can address these needs individually by opening the appropriate interfaces in the firewall, including those necessary for any trusts to function.

AD DS で使用するファイアウォールの構成の詳細については、「 ファイアウォールでセグメント化されたネットワークでの Active Directory」を参照してください。For more information about configuring firewalls for use with AD DS, see Active Directory in Networks Segmented by Firewalls.