組織のドメイン フォレスト モデルを使用します。

適用先:Windows Server 2016 では、Windows Server 2012 R2、Windows Server 2012

組織のドメイン フォレスト モデルでは、いくつかの自律的なグループは、フォレスト内のドメインを所有します。 各グループは、フォレストの所有者は、フォレスト レベルのサービス管理を制御しながら、自律的にサービス管理の特定の側面を管理することが可能なドメイン レベルのサービス管理を制御します。

次の図は、組織のドメイン フォレスト モデルを示しています。

組織ドメイン フォレスト モデルを使用します。

ドメイン レベルのサービスの独立性

組織のドメイン フォレスト モデルでは、ドメイン レベルのサービス管理のための権限の委任を使用します。 次の表は、ドメイン レベルで制御できるサービス管理の種類を示します。

サービス管理の種類 関連するタスク
ドメイン コント ローラーの操作の管理 -ドメインコントローラーの作成と削除
-ドメインコントローラーの機能の監視
-ドメインコントローラーで実行されているサービスの管理
-ディレクトリのバックアップと復元
ドメイン全体の設定の構成 -パスワード、Kerberos、アカウントロックアウトポリシーなどのドメインおよびドメインユーザーアカウントポリシーの作成
-ドメイン全体のグループポリシーの作成と適用
データ レベルの管理の委任 -組織単位 (Ou) の作成と管理の委任
-Ou の所有者が修正するための十分なアクセス権を持っていない OU 構造の問題を修復する
外部の信頼関係の管理 -フォレスト外のドメインとの信頼関係を確立する

他の種類のスキーマなどのサービスの管理またはレプリケーション トポロジの管理は、フォレストの所有者の責任です。

ドメインの所有者

組織ドメイン フォレスト モデルでは、ドメインの所有者はドメイン レベルのサービス管理タスクを担当します。 ドメインの所有者は、ドメイン全体だけでなく、フォレスト内の他のすべてのドメインへのアクセスを権限を持っています。 このため、ドメイン所有者がフォレストの所有者によって選択された信頼できるユーザーをする必要があります。

次の条件が満たされた場合は、ドメインの所有者にドメイン レベル サービスの管理を委任します。

  • フォレストに参加しているすべてのグループは、新しいドメインの所有者とは、サービス管理の方法、新しいドメインを信頼します。

  • 新しいドメインの所有者は、フォレストの所有者と他のドメインの所有者を信頼します。

  • 新しいドメインの所有者にサービス管理者の管理と選択ポリシーと同等かそれよりも自分より厳密なプラクティスがあるフォレスト内のすべてのドメイン所有者が同意します。

  • フォレスト内のすべてのドメイン所有者は、新しいドメインに新しいドメインの所有者によって管理されるドメイン コント ローラーが物理的に安全であることを合意します。

注場合は、フォレスト所有者デリゲート ドメイン レベルのサービスの管理ドメインの所有者に、その他のグループがそのドメインの所有者を信頼していない場合、そのフォレストに参加しなければ選択可能性があります。

すべてのドメインの所有者を対応するこれらの条件の変更を加えた場合、将来必要がある複数フォレストの展開に組織のドメインに移動することがあります。

注意

Windows Server 2008 の Active Directory ドメインにセキュリティ上のリスクを最小限に抑えるには、Active Directory インフラストラクチャの読み取り専用ドメイン コント ローラー (RODC) のデプロイを伴う管理者の役割の分離を使用します。 RODC は、Active Directory データベースの読み取り専用のパーティションをホストする Windows Server 2008 オペレーティング システムのドメイン コント ローラーの新しい型です。 Windows Server 2008 がリリースされる前に、は、ドメイン コント ローラーでサーバー メンテナンス作業をドメイン管理者が実行する必要があります。 Windows Server 2008 でそのユーザーのドメインまたはその他のドメイン コント ローラーの管理者権限を付与することがなくすべてのドメイン ユーザーを RODC のローカルの管理者権限を委任できます。 これにより、委任されたユーザーを RODC にログオンし、サーバー上のドライバーをアップグレードするなどのメンテナンス作業を実行できます。 ただし、この委任されたユーザーは、その他のドメイン コント ローラーにログオンまたはドメイン内の他の管理タスクを実行することはできません。 この方法で信頼されているユーザーができる他のドメインのセキュリティを損なうことがなく、RODC を効果的に管理する権限が委任します。 Rodc の詳細については、「 AD DS: Read-Only ドメインコントローラー」を参照してください。