組織のドメイン フォレスト モデルを使用します。Using the Organizational Domain Forest Model

適用先:Windows Server 2016 では、Windows Server 2012 R2、Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

組織のドメイン フォレスト モデルでは、いくつかの自律的なグループは、フォレスト内のドメインを所有します。In the organizational domain forest model, several autonomous groups each own a domain within a forest. 各グループは、フォレストの所有者は、フォレスト レベルのサービス管理を制御しながら、自律的にサービス管理の特定の側面を管理することが可能なドメイン レベルのサービス管理を制御します。Each group controls domain-level service administration, which enables them to manage certain aspects of service management autonomously while the forest owner controls forest-level service management.

次の図は、組織のドメイン フォレスト モデルを示しています。The following illustration shows an organizational domain forest model.

組織ドメイン フォレスト モデルを使用します。

ドメイン レベルのサービスの独立性Domain-level service autonomy

組織のドメイン フォレスト モデルでは、ドメイン レベルのサービス管理のための権限の委任を使用します。The organizational domain forest model enables the delegation of authority for domain-level service management. 次の表は、ドメイン レベルで制御できるサービス管理の種類を示します。The following table lists the types of service management that can be controlled at the domain level.

サービス管理の種類Type of service management 関連するタスクAssociated tasks
ドメイン コント ローラーの操作の管理Management of domain controller operations -作成して、ドメイン コント ローラーを削除します。- Creating and removing domain controllers
-ドメイン コント ローラーの機能を監視します。- Monitoring the functioning of domain controllers
-ドメイン コント ローラーで実行されているサービスを管理します。- Managing services that are running on domain controllers
-バックアップして、ディレクトリを復元します。- Backing up and restoring the directory
ドメイン全体の設定の構成Configuration of domain-wide settings -ポリシーを作成するドメインとドメイン ユーザー アカウント、パスワード、Kerberos、およびアカウント ロックアウト ポリシーなど- Creating domain and domain user account policies, such as password, Kerberos, and account lockout policies
-作成して、ドメイン全体のグループ ポリシーを適用します。- Creating and applying domain-wide Group Policy
データ レベルの管理の委任Delegation of data-level administration 組織単位 (Ou) を作成および管理を委任します。- Creating organizational units (OUs) and delegating administration
-問題を解決するための十分なアクセス権を持たない OU 所有者 OU 構造を修復します。- Repairing problems in the OU structure that OU owners do not have sufficient access rights to fix
外部の信頼関係の管理Management of external trusts -フォレスト外のドメインと信頼関係を確立します。- Establishing trust relationships with domains outside the forest

他の種類のスキーマなどのサービスの管理またはレプリケーション トポロジの管理は、フォレストの所有者の責任です。Other types of service management, such as schema or replication topology management, are the responsibility of the forest owner.

ドメインの所有者Domain owner

組織ドメイン フォレスト モデルでは、ドメインの所有者はドメイン レベルのサービス管理タスクを担当します。In an organizational domain forest model, domain owners are responsible for domain-level service management tasks. ドメインの所有者は、ドメイン全体だけでなく、フォレスト内の他のすべてのドメインへのアクセスを権限を持っています。Domain owners have authority over the entire domain as well as access to all other domains in the forest. このため、ドメイン所有者がフォレストの所有者によって選択された信頼できるユーザーをする必要があります。For this reason, domain owners must be trusted individuals selected by the forest owner.

次の条件が満たされた場合は、ドメインの所有者にドメイン レベル サービスの管理を委任します。Delegate domain-level service management to a domain owner, if the following conditions are met:

  • フォレストに参加しているすべてのグループは、新しいドメインの所有者とは、サービス管理の方法、新しいドメインを信頼します。All groups participating in the forest trust the new domain owner and the service management practices of the new domain.

  • 新しいドメインの所有者は、フォレストの所有者と他のドメインの所有者を信頼します。The new domain owner trusts the forest owner and all the other domain owners.

  • 新しいドメインの所有者にサービス管理者の管理と選択ポリシーと同等かそれよりも自分より厳密なプラクティスがあるフォレスト内のすべてのドメイン所有者が同意します。All domain owners in the forest agree that the new domain owner has service administrator management and selection policies and practices that are equal to or more strict than their own.

  • フォレスト内のすべてのドメイン所有者は、新しいドメインに新しいドメインの所有者によって管理されるドメイン コント ローラーが物理的に安全であることを合意します。All domain owners in the forest agree that domain controllers managed by the new domain owner in the new domain are physically secure.

注場合は、フォレスト所有者デリゲート ドメイン レベルのサービスの管理ドメインの所有者に、その他のグループがそのドメインの所有者を信頼していない場合、そのフォレストに参加しなければ選択可能性があります。Note that if a forest owner delegates domain-level service management to a domain owner, other groups might choose not to join that forest if they do not trust that domain owner.

すべてのドメインの所有者を対応するこれらの条件の変更を加えた場合、将来必要がある複数フォレストの展開に組織のドメインに移動することがあります。All domain owners must be aware that if any of these conditions change in the future, it might become necessary to move the organizational domains into a multiple forest deployment.

注意

Windows Server 2008 の Active Directory ドメインにセキュリティ上のリスクを最小限に抑えるには、Active Directory インフラストラクチャの読み取り専用ドメイン コント ローラー (RODC) のデプロイを伴う管理者の役割の分離を使用します。Another way to minimize security risks to a Windows Server 2008 Active Directory domain is to employ administrator role separation, which requires the deployment of a read-only domain controller (RODC) in your Active Directory infrastructure. RODC は、Active Directory データベースの読み取り専用のパーティションをホストする Windows Server 2008 オペレーティング システムのドメイン コント ローラーの新しい型です。An RODC is a new type of domain controller in the Windows Server 2008 operating system that hosts read-only partitions of the Active Directory database. Windows Server 2008 がリリースされる前に、は、ドメイン コント ローラーでサーバー メンテナンス作業をドメイン管理者が実行する必要があります。Before the release of Windows Server 2008 , any server maintenance work on a domain controller had to be performed by a domain administrator. Windows Server 2008 でそのユーザーのドメインまたはその他のドメイン コント ローラーの管理者権限を付与することがなくすべてのドメイン ユーザーを RODC のローカルの管理者権限を委任できます。In Windows Server 2008 , you can delegate local administrative permissions for an RODC to any domain user without granting that user any administrative rights for the domain or other domain controllers. これにより、委任されたユーザーを RODC にログオンし、サーバー上のドライバーをアップグレードするなどのメンテナンス作業を実行できます。This permits the delegated user to log on to an RODC and perform maintenance work, such as upgrading a driver, on the server. ただし、この委任されたユーザーは、その他のドメイン コント ローラーにログオンまたはドメイン内の他の管理タスクを実行することはできません。However, this delegated user cannot log on to any other domain controller or perform any other administrative task in the domain. この方法で信頼されているユーザーができる他のドメインのセキュリティを損なうことがなく、RODC を効果的に管理する権限が委任します。In this way, any trusted user can be delegated the ability to effectively manage the RODC without compromising the security of the rest of the domain. Rodc の詳細については、次を参照してくださいAD DS:。読み取り専用ドメイン コント ローラーします。For more information about RODCs, see AD DS: Read-Only Domain Controllers.