組織のドメイン フォレスト モデルを使用します。Using the Organizational Domain Forest Model

適用対象: Windows Server 2016、Windows Server 2012 R2、Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

組織のドメイン フォレスト モデルでは、いくつかの自律的なグループは、フォレスト内のドメインを所有します。In the organizational domain forest model, several autonomous groups each own a domain within a forest. 各グループは、フォレストの所有者は、フォレスト レベルのサービス管理を制御しながら、自律的にサービス管理の特定の側面を管理することが可能なドメイン レベルのサービス管理を制御します。Each group controls domain-level service administration, which enables them to manage certain aspects of service management autonomously while the forest owner controls forest-level service management.

次の図は、組織のドメイン フォレスト モデルを示しています。The following illustration shows an organizational domain forest model.

組織ドメイン フォレスト モデルを使用します。

ドメイン レベルのサービスの独立性Domain-level service autonomy

組織のドメイン フォレスト モデルでは、ドメイン レベルのサービス管理のための権限の委任を使用します。The organizational domain forest model enables the delegation of authority for domain-level service management. 次の表は、ドメイン レベルで制御できるサービス管理の種類を示します。The following table lists the types of service management that can be controlled at the domain level.

サービス管理の種類Type of service management 関連するタスクAssociated tasks
ドメイン コント ローラーの操作の管理Management of domain controller operations -ドメインコントローラーの作成と削除- Creating and removing domain controllers
-ドメインコントローラーの機能の監視- Monitoring the functioning of domain controllers
-ドメインコントローラーで実行されているサービスの管理- Managing services that are running on domain controllers
-ディレクトリのバックアップと復元- Backing up and restoring the directory
ドメイン全体の設定の構成Configuration of domain-wide settings -パスワード、Kerberos、アカウントロックアウトポリシーなどのドメインおよびドメインユーザーアカウントポリシーの作成- Creating domain and domain user account policies, such as password, Kerberos, and account lockout policies
-ドメイン全体のグループポリシーの作成と適用- Creating and applying domain-wide Group Policy
データ レベルの管理の委任Delegation of data-level administration -組織単位 (Ou) の作成と管理の委任- Creating organizational units (OUs) and delegating administration
-Ou の所有者が修正するための十分なアクセス権を持っていない OU 構造の問題を修復する- Repairing problems in the OU structure that OU owners do not have sufficient access rights to fix
外部の信頼関係の管理Management of external trusts -フォレスト外のドメインとの信頼関係を確立する- Establishing trust relationships with domains outside the forest

他の種類のスキーマなどのサービスの管理またはレプリケーション トポロジの管理は、フォレストの所有者の責任です。Other types of service management, such as schema or replication topology management, are the responsibility of the forest owner.

ドメインの所有者Domain owner

組織ドメイン フォレスト モデルでは、ドメインの所有者はドメイン レベルのサービス管理タスクを担当します。In an organizational domain forest model, domain owners are responsible for domain-level service management tasks. ドメインの所有者は、ドメイン全体だけでなく、フォレスト内の他のすべてのドメインへのアクセスを権限を持っています。Domain owners have authority over the entire domain as well as access to all other domains in the forest. このため、ドメイン所有者がフォレストの所有者によって選択された信頼できるユーザーをする必要があります。For this reason, domain owners must be trusted individuals selected by the forest owner.

次の条件が満たされた場合は、ドメインの所有者にドメイン レベル サービスの管理を委任します。Delegate domain-level service management to a domain owner, if the following conditions are met:

  • フォレストに参加しているすべてのグループは、新しいドメインの所有者とは、サービス管理の方法、新しいドメインを信頼します。All groups participating in the forest trust the new domain owner and the service management practices of the new domain.

  • 新しいドメインの所有者は、フォレストの所有者と他のドメインの所有者を信頼します。The new domain owner trusts the forest owner and all the other domain owners.

  • 新しいドメインの所有者にサービス管理者の管理と選択ポリシーと同等かそれよりも自分より厳密なプラクティスがあるフォレスト内のすべてのドメイン所有者が同意します。All domain owners in the forest agree that the new domain owner has service administrator management and selection policies and practices that are equal to or more strict than their own.

  • フォレスト内のすべてのドメイン所有者は、新しいドメインに新しいドメインの所有者によって管理されるドメイン コント ローラーが物理的に安全であることを合意します。All domain owners in the forest agree that domain controllers managed by the new domain owner in the new domain are physically secure.

注場合は、フォレスト所有者デリゲート ドメイン レベルのサービスの管理ドメインの所有者に、その他のグループがそのドメインの所有者を信頼していない場合、そのフォレストに参加しなければ選択可能性があります。Note that if a forest owner delegates domain-level service management to a domain owner, other groups might choose not to join that forest if they do not trust that domain owner.

すべてのドメインの所有者を対応するこれらの条件の変更を加えた場合、将来必要がある複数フォレストの展開に組織のドメインに移動することがあります。All domain owners must be aware that if any of these conditions change in the future, it might become necessary to move the organizational domains into a multiple forest deployment.

注意

Windows Server 2008 の Active Directory ドメインにセキュリティ上のリスクを最小限に抑えるには、Active Directory インフラストラクチャの読み取り専用ドメイン コント ローラー (RODC) のデプロイを伴う管理者の役割の分離を使用します。Another way to minimize security risks to a Windows Server 2008 Active Directory domain is to employ administrator role separation, which requires the deployment of a read-only domain controller (RODC) in your Active Directory infrastructure. RODC は、Active Directory データベースの読み取り専用のパーティションをホストする Windows Server 2008 オペレーティング システムのドメイン コント ローラーの新しい型です。An RODC is a new type of domain controller in the Windows Server 2008 operating system that hosts read-only partitions of the Active Directory database. Windows Server 2008 がリリースされる前に、は、ドメイン コント ローラーでサーバー メンテナンス作業をドメイン管理者が実行する必要があります。Before the release of Windows Server 2008 , any server maintenance work on a domain controller had to be performed by a domain administrator. Windows Server 2008 でそのユーザーのドメインまたはその他のドメイン コント ローラーの管理者権限を付与することがなくすべてのドメイン ユーザーを RODC のローカルの管理者権限を委任できます。In Windows Server 2008 , you can delegate local administrative permissions for an RODC to any domain user without granting that user any administrative rights for the domain or other domain controllers. これにより、委任されたユーザーを RODC にログオンし、サーバー上のドライバーをアップグレードするなどのメンテナンス作業を実行できます。This permits the delegated user to log on to an RODC and perform maintenance work, such as upgrading a driver, on the server. ただし、この委任されたユーザーは、その他のドメイン コント ローラーにログオンまたはドメイン内の他の管理タスクを実行することはできません。However, this delegated user cannot log on to any other domain controller or perform any other administrative task in the domain. この方法で信頼されているユーザーができる他のドメインのセキュリティを損なうことがなく、RODC を効果的に管理する権限が委任します。In this way, any trusted user can be delegated the ability to effectively manage the RODC without compromising the security of the rest of the domain. Rodc の詳細については、「 AD DS: 読み取り専用ドメインコントローラー」を参照してください。For more information about RODCs, see AD DS: Read-Only Domain Controllers.