設計要件をフォレストの設計モデルにマッピングする

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

組織内のほとんどのグループは、1 つの情報技術 (IT) グループによって管理され、フォレストを共有しているすべてのグループのユーザー アカウントとリソースを含む 1 つの組織フォレストを共有できます。 この共有フォレストは最初の組織フォレストと呼ばれ、組織のフォレスト設計モデルの基盤になります。

最初の組織フォレストは組織内にある複数のグループをホストできるため、フォレストの所有者は各グループとのサービス レベル アグリーメントを確立して、すべての関係者はグループに期待されることを理解する必要があります。 これにより、合意されたサービスへの期待が確立され、個々のグループとフォレスト所有者の両方が保護されます。

組織内のすべてのグループで 1 つの組織フォレストを共有できない場合は、さまざまなグループのニーズに合わせてフォレストの設計を拡張する必要があります。 これには、自律性と分離に対するニーズに基づいてグループに適用される設計要件と、接続が制限されたネットワークの有無を特定し、それらの要件に対応するために使用できるフォレスト モデルを特定することが含まれます。 次の表に、自律性、分離、および接続性の要因に基づくフォレスト設計モデルのシナリオを示します。 要件に最適なフォレスト設計シナリオを特定した後、設計仕様を満たすために追加の決定を行う必要があるかどうかを判断します。

注意

要因が「該当なし」で示されている場合は、他の要件もその要因に対応しているため、考慮事項にはなりません。

シナリオ 接続を制限する データの分離 データ自律性 サービスの分離 サービスの自律性
シナリオ 1: データの自律性のために既存のフォレストに参加する いいえ 番号 イエス 番号 いいえ
シナリオ 2: サービスの自律性のために組織のフォレストまたはドメインを使用する いいえ いいえ 該当なし いいえ はい
シナリオ 3: サービスの分離のために組織のフォレストまたはリソース フォレストを使用する いいえ いいえ 該当なし はい 該当なし
シナリオ 4: データの分離性のために組織のフォレストまたはアクセスが制限されたフォレストを使用する 該当なし はい 該当なし 該当なし 該当なし
シナリオ 5: 組織のフォレストを使用する、または接続を制限するためにファイアウォールを再構成する はい いいえ 該当なし いいえ いいえ
シナリオ 6: 組織のフォレストまたはドメインを使用し、接続を制限するサービスの自律性のためにファイアウォールを再構成する はい いいえ 該当なし いいえ はい
シナリオ 7: リソース フォレストを使用し、接続を制限するサービスの分離のためにファイアウォールを再構成する はい いいえ 該当なし はい 該当なし

シナリオ 1: データの自律性のために既存のフォレストに参加する

既存の組織フォレスト内の組織単位 (OS) でグループをホストするだけで、データの自律性の要件を満たすことができます。 そのグループのデータ管理者に OU の制御を委任して、データの自律性を実現します。 OU を使用した制御の委任の詳細については、「組織単位の設計を作成する」を参照してください。

シナリオ 2: サービスの自律性のために組織のフォレストまたはドメインを使用する

組織内のグループがサービスの自律性を要件として識別する場合は、最初にこの要件を再検討することをお勧めします。 サービスの自律性を実現すると、管理オーバーヘッドが増え、組織に追加コストが発生します。 サービスの自律性の要件が単なる便宜上のものではなく、この要件を満たすために必要なコストを正当化できることを確認します。

サービスの自律性の要件を満たすには、次のいずれかを実行します。

  • 組織フォレストを作成する。 サービスの自律性を必要とするグループのユーザー、グループ、およびコンピューターを別の組織フォレストに配置します。 そのグループの個人をフォレスト所有者に割り当てます。 グループが組織内の他のフォレストとリソースにアクセスまたは共有する必要がある場合は、組織のフォレストと他のフォレストの間で信頼を確立できます。

  • 組織ドメインの使用。 ユーザー、グループ、およびコンピューターを、既存の組織フォレスト内にある別のドメインに配置します。 このモデルは、ドメインレベルのサービスの自律性のみを提供し、完全なサービスの自律性、サービスの分離、またはデータの分離は提供しません。

組織ドメインの使用の詳細については、「組織ドメイン フォレスト モデルを使用する」を参照してください。

シナリオ 3: サービスの分離のために組織のフォレストまたはリソース フォレストを使用する

サービスの分離の要件を満たすには、次のいずれかを実行します。

  • 組織フォレストを使用する。 サービスの分離を必要とするグループのユーザー、グループ、およびコンピューターを別の組織フォレストに配置します。 そのグループの個人をフォレスト所有者に割り当てます。 グループが組織内の他のフォレストとリソースにアクセスまたは共有する必要がある場合は、組織のフォレストと他のフォレストの間で信頼を確立できます。 ただし、フォレストの信頼シナリオでは、ユニバーサル グループを介したリソース アクセスが大幅に制限されるため、この方法はお勧めしません。

  • リソース フォレストの使用。 リソースとサービス アカウントを別のリソース フォレストに配置し、ユーザー アカウントを既存の組織フォレストに保持します。 必要に応じて、リソース フォレストに代替アカウントを作成しておくと、組織のフォレストが使用できなくなった場合でもリソース フォレスト内のリソースにアクセスできます。 代替アカウントには、リソース フォレストにログオンし、組織フォレストがオンラインに戻るまでリソースの制御を維持するために必要な権限が必要です。

    リソースと組織のフォレスト間に信頼を確立し、ユーザーが通常のユーザー アカウントを使用しながらフォレスト内のリソースにアクセスできるようにします。 この構成により、ユーザー アカウントの一元管理が可能になると同時に、組織フォレストが使用できなくなった場合に、ユーザーはリソース フォレスト内の代替アカウントにフォールバックできるようになります。

サービスの分離に関する考慮事項には、次のようなものがあります。

  • サービスの分離用に作成されたフォレストは、他のフォレストのドメインを信頼できますが、サービス管理者グループに他のフォレストのユーザーを含めることはできません。 他のフォレストのユーザーが分離したフォレストの管理グループに含まれている場合、そのフォレスト内のサービス管理者が排他的に制御できないため、分離したフォレストのセキュリティが危険にさらされる可能性があります。

  • ドメイン コントローラーがネットワーク上でアクセスできる限り、そのネットワーク上の悪意のあるソフトウェアからの攻撃 (サービス拒否攻撃など) の影響を受けます。 攻撃の可能性を防ぐには、次の操作を行います。

    • セキュリティで保護されたと見なされるネットワーク上でのみドメイン コントローラーをホストします。

    • ドメイン コントローラーをホストする 1 つまたは複数のネットワークへのアクセスを制限します。

  • サービスの分離には、追加のフォレストを作成する必要があります。 追加のフォレストをサポートするためにインフラストラクチャを維持するコストが、組織のフォレストが使用できなくなったことによるリソースへのアクセスが失われた場合のコストを上回るかどうかを評価します。

シナリオ 4: データの分離性のために組織のフォレストまたはアクセスが制限されたフォレストを使用する

データの分離を実現するには、次のいずれかの操作を行います。

  • 組織フォレストを使用する。 データの分離を必要とするグループのユーザー、グループ、およびコンピューターを別の組織フォレストに配置します。 そのグループの個人をフォレスト所有者に割り当てます。 グループが組織内の他のフォレストとリソースにアクセスまたは共有する必要がある場合は、組織のフォレストと他のフォレストの間で信頼を確立します。 新しい組織フォレストには、分類された情報へのアクセスを必要とするユーザーのみが存在します。 ユーザーは、信頼関係を使用して、自分のフォレスト内にある分類されたデータと他のフォレスト内にある未分類のデータの両方にアクセスするために使用するアカウントを 1 つ持っています。

  • アクセスが制限されたフォレストを使用します。 これは、制限されたデータとそのデータへのアクセスに使用されるユーザー アカウントを含む別のフォレストです。 ネットワーク上で無制限のリソースへのアクセスに使用される既存の組織フォレストには、個別のユーザー アカウントが保持されます。 アクセスが制限されたフォレストと企業内の他のフォレストとの間に信頼関係は作成されません。 別の物理ネットワークにフォレストを展開し、他のフォレストに接続できないようにすることで、フォレストをさらに制限することができます。 フォレストを別のネットワークに展開する場合、ユーザーは制限されたフォレストにアクセスするためのワークステーションと、ネットワークで制限されていない領域にアクセスするためのワークステーションの 2 つが必要です。

データの分離のためにフォレストを作成する際の考慮事項は次のとおりです。

  • データの分離用に作成された組織フォレストは、他のフォレストのドメインを信頼できますが、他のフォレストのユーザーは次のいずれにも含めないでください。

    • サービスの管理を担当するグループ、またはサービス管理者グループのメンバーシップを管理できるグループ

    • 保護されたデータを保存するコンピューターを管理制御するグループ

    • 保護されたデータにアクセスできるグループ、または保護されたデータにアクセスできるユーザー オブジェクトまたはグループ オブジェクトの管理を担当するグループ

      別のフォレストのユーザーがこれらのグループのいずれかに含まれている場合、他のフォレストのセキュリティが侵害されると、分離されたフォレストが侵害され、保護されたデータが漏えいする可能性があります。

  • 他のフォレストは、データの分離用に作成された組織フォレストを信頼するように構成できるため、分離されたフォレストのユーザーは他のフォレストのリソースにアクセスできます。 ただし、分離されたフォレストのユーザーは、信頼するフォレストのワークステーションに対話的にログオンしないでください。 信頼するフォレストにあるコンピューターは、悪意のあるソフトウェアによって侵害され、ユーザーのログオン資格情報を取得するために使用される可能性があります。

    注意

    信頼するフォレストのサーバーが分離されたフォレストのユーザーになりすまして、分離したフォレストのリソースにアクセスできないようにするには、フォレスト所有者が委任された認証を無効にするか、制約付き委任機能を使用します。 委任された認証と制約付き委任の詳細については、認証の委任に関するページを参照してください。

  • 組織のフォレストと組織内にある他のフォレストとの間にファイアウォールを確立して、フォレスト外の情報へのユーザー アクセスを制限する必要がある場合があります。

  • 別のフォレストを作成するとデータの分離が可能になりますが、分離されたフォレストのドメイン コントローラーと保護された情報をホストするコンピューターがネットワーク上でアクセスできる限り、そのネットワーク上のコンピューターから攻撃を受ける可能性があります。 攻撃を受けるリスクが高すぎる、または攻撃やセキュリティ違反による影響が大きすぎると判断した組織は、ドメイン コントローラーをホストしている 1 つまたは複数のネットワークや、保護されたデータをホストしているコンピューターへのアクセスを制限する必要があります。 アクセスの制限は、ファイアウォールやインターネット プロトコル セキュリティ (IPsec) などのテクノロジを使用して行うことができます。 極端な場合、組織は、組織内にある他のネットワークに物理的に接続していない独立したネットワーク上で保護されたデータを維持することを選択する場合があります。

    注意

    アクセスが制限されたフォレストと別のネットワークとの間にネットワーク接続が存在する場合は、制限された領域のデータが他のネットワークに転送される可能性があります。

シナリオ 5: 組織のフォレストを使用する、または接続を制限するためにファイアウォールを再構成する

接続を制限する要件を満たすには、次のいずれかの操作を行います。

  • ユーザーを既存の組織フォレストに配置し、Active Directory トラフィックが通過できるように十分なファイアウォールを開きます。

  • 組織フォレストを使用します。 接続が制限されているグループのユーザー、グループ、およびコンピューターを別の組織フォレストに配置します。 そのグループの個人をフォレスト所有者に割り当てます。 組織フォレストは、ファイアウォールの反対側に別の環境を提供します。 フォレストには、フォレスト内で管理されるユーザー アカウントとリソースが含まれているため、ユーザーは毎日のタスクを実行するためにファイアウォールを通過する必要がありません。 特定のユーザーまたはアプリケーションには、ファイアウォールを通過して他のフォレストに接続する機能を必要とする特別なニーズがある場合があります。 信頼が機能するために必要なインターフェイスを含め、ファイアウォールで適切なインターフェイスを開くことで、これらのニーズに個別に対処できます。

Active Directory Domain Services (AD DS) で使用するファイアウォールの構成の詳細については、ファイアウォールでセグメント化されたネットワークでの Active Directory に関するページを参照してください。

シナリオ 6: 組織のフォレストまたはドメインを使用し、接続を制限するサービスの自律性のためにファイアウォールを再構成する

組織内のグループがサービスの自律性を要件として識別する場合は、最初にこの要件を再検討することをお勧めします。 サービスの自律性を実現すると、管理オーバーヘッドが増え、組織に追加コストが発生します。 サービスの自律性の要件が単なる便宜上のものではなく、この要件を満たすために必要なコストを正当化できることを確認します。

接続の制限に問題があり、サービスの自律性が必要な場合は、次のいずれかの操作を実行できます。

  • 組織フォレストを使用します。 サービスの自律性を必要とするグループのユーザー、グループ、およびコンピューターを別の組織フォレストに配置します。 そのグループの個人をフォレスト所有者に割り当てます。 組織フォレストは、ファイアウォールの反対側に別の環境を提供します。 フォレストには、フォレスト内で管理されるユーザー アカウントとリソースが含まれているため、ユーザーは毎日のタスクを実行するためにファイアウォールを通過する必要がありません。 特定のユーザーまたはアプリケーションには、ファイアウォールを通過して他のフォレストに接続する機能を必要とする特別なニーズがある場合があります。 信頼が機能するために必要なインターフェイスを含め、ファイアウォールで適切なインターフェイスを開くことで、これらのニーズに個別に対処できます。

  • ユーザー、グループ、およびコンピューターを、既存の組織フォレスト内にある別のドメインに配置します。 このモデルは、ドメインレベルのサービスの自律性のみを提供し、完全なサービスの自律性、サービスの分離、またはデータの分離は提供しません。 フォレスト内の他のグループは、フォレスト所有者を信頼するのと同じ程度に、新しいドメインのサービス管理者を信頼する必要があります。 そのため、この方法はお勧めしません。 組織ドメインの使用の詳細については、「組織ドメイン フォレスト モデルを使用する」を参照してください。

また、Active Directory トラフィックが通過できるようにファイアウォールを十分に開く必要があります。 AD DS で使用するファイアウォールの構成の詳細については、「ファイアウォールでセグメント化されたネットワークでの Active Directory 」を参照してください。

シナリオ 7: リソース フォレストを使用し、接続を制限するサービスの分離のためにファイアウォールを再構成する

接続の制限に問題があり、サービスの分離が必要な場合は、次のいずれかの操作を実行できます。

  • 組織フォレストを使用します。 サービスの分離を必要とするグループのユーザー、グループ、およびコンピューターを別の組織フォレストに配置します。 そのグループの個人をフォレスト所有者に割り当てます。 組織フォレストは、ファイアウォールの反対側に別の環境を提供します。 フォレストには、フォレスト内で管理されるユーザー アカウントとリソースが含まれているため、ユーザーは毎日のタスクを実行するためにファイアウォールを通過する必要がありません。 特定のユーザーまたはアプリケーションには、ファイアウォールを通過して他のフォレストに接続する機能を必要とする特別なニーズがある場合があります。 信頼が機能するために必要なインターフェイスを含め、ファイアウォールで適切なインターフェイスを開くことで、これらのニーズに個別に対処できます。

  • リソース フォレストを使用します。 リソースとサービス アカウントを別のリソース フォレストに配置し、ユーザー アカウントを既存の組織フォレストに保持します。 組織フォレストが使用できなくなった場合でもリソース フォレストへのアクセスを維持するために、リソース フォレストに別のユーザー アカウントを作成する必要がある場合があります。 代替アカウントには、リソース フォレストにログオンし、組織フォレストがオンラインに戻るまでリソースの制御を維持するために必要な権限が必要です。

    リソースと組織のフォレスト間に信頼を確立し、ユーザーが通常のユーザー アカウントを使用しながらフォレスト内のリソースにアクセスできるようにします。 この構成により、ユーザー アカウントの一元管理が可能になると同時に、組織フォレストが使用できなくなった場合に、ユーザーはリソース フォレスト内の代替アカウントにフォールバックできるようになります。

サービスの分離に関する考慮事項には、次のようなものがあります。

  • サービスの分離用に作成されたフォレストは、他のフォレストのドメインを信頼できますが、サービス管理者グループに他のフォレストのユーザーを含めることはできません。 他のフォレストのユーザーが分離したフォレストの管理グループに含まれている場合、そのフォレスト内のサービス管理者が排他的に制御できないため、分離したフォレストのセキュリティが危険にさらされる可能性があります。

  • ドメイン コントローラーがネットワーク上でアクセスできる限り、そのネットワーク上のコンピューターからの攻撃 (サービス拒否攻撃など) の影響を受けます。 攻撃の可能性を防ぐには、次の操作を行います。

    • セキュリティで保護されたと見なされるネットワーク上でのみドメイン コントローラーをホストします。

    • ドメイン コントローラーをホストする 1 つまたは複数のネットワークへのアクセスを制限します。

  • サービスの分離には、追加のフォレストを作成する必要があります。 追加のフォレストをサポートするためにインフラストラクチャを維持するコストが、組織のフォレストが使用できなくなったことによるリソースへのアクセスが失われた場合のコストを上回るかどうかを評価します。

    特定のユーザーまたはアプリケーションには、ファイアウォールを通過して他のフォレストに接続する機能を必要とする特別なニーズがある場合があります。 信頼が機能するために必要なインターフェイスを含め、ファイアウォールで適切なインターフェイスを開くことで、これらのニーズに個別に対処できます。

AD DS で使用するファイアウォールの構成の詳細については、「ファイアウォールでセグメント化されたネットワークでの Active Directory 」を参照してください。