組織ドメイン フォレスト モデルを使用します。Using the Organizational Domain Forest Model

適用対象: Windows Server 2016、Windows Server 2012 R2、Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

組織ドメイン フォレスト モデルでは、いくつかの自律的なグループは、フォレスト内のドメインを所有します。In the organizational domain forest model, several autonomous groups each own a domain within a forest. 各グループは、フォレストの所有者によって制御フォレスト レベルのサービスの管理中に自律的にサービスの管理の特定の側面を管理することが可能なドメイン レベルのサービス管理を制御します。Each group controls domain-level service administration, which enables them to manage certain aspects of service management autonomously while the forest owner controls forest-level service management.

次の図は、組織のドメイン フォレスト モデルを示します。The following illustration shows an organizational domain forest model.

組織ドメイン フォレスト モデルを使用します。

ドメイン レベル サービスの独立性Domain-level service autonomy

組織ドメイン フォレスト モデルでは、ドメイン レベル サービスの管理の権限の委任を有効します。The organizational domain forest model enables the delegation of authority for domain-level service management. 次の表は、ドメイン レベルで制御できるサービス管理の種類を示します。The following table lists the types of service management that can be controlled at the domain level.

サービス管理の種類Type of service management 関連するタスクAssociated tasks
ドメイン コント ローラーの操作の管理Management of domain controller operations -作成およびドメイン コント ローラーを削除します。- Creating and removing domain controllers
-ドメイン コント ローラーの機能を監視します。- Monitoring the functioning of domain controllers
-ドメイン コント ローラーで実行されているサービスを管理します。- Managing services that are running on domain controllers
-バックアップして、ディレクトリを復元します。- Backing up and restoring the directory
ドメイン全体の設定の構成Configuration of domain-wide settings -ポリシーを作成するドメインとドメイン ユーザー アカウント、パスワード、Kerberos、およびアカウント ロックアウト ポリシーなど- Creating domain and domain user account policies, such as password, Kerberos, and account lockout policies
-作成およびドメイン全体のグループ ポリシーを適用します。- Creating and applying domain-wide Group Policy
データ レベルの管理の委任Delegation of data-level administration -組織単位 (Ou) を作成および管理を委任します。- Creating organizational units (OUs) and delegating administration
-を解決するための十分なアクセス権を持たない OU 所有者 OU 構造の問題を修復します。- Repairing problems in the OU structure that OU owners do not have sufficient access rights to fix
外部の信頼の管理Management of external trusts -フォレスト外のドメインと信頼関係を確立します。- Establishing trust relationships with domains outside the forest

他の種類のスキーマなどのサービスの管理またはレプリケーション トポロジの管理は、フォレストの所有者の責任です。Other types of service management, such as schema or replication topology management, are the responsibility of the forest owner.

ドメインの所有者Domain owner

組織ドメイン フォレスト モデルでは、ドメインの所有者はドメイン レベルのサービス管理タスクを担当します。In an organizational domain forest model, domain owners are responsible for domain-level service management tasks. ドメインの所有者では、権限を持っている、ドメイン全体だけでなく、フォレストの他のすべてのドメインへのアクセスを経由します。Domain owners have authority over the entire domain as well as access to all other domains in the forest. このため、ドメインの所有者は、フォレストの所有者によって選択された信頼できるユーザーをする必要があります。For this reason, domain owners must be trusted individuals selected by the forest owner.

次の条件が満たされた場合は、ドメインの所有者にドメイン レベル サービスの管理を委任します。Delegate domain-level service management to a domain owner, if the following conditions are met:

  • フォレストに参加しているすべてのグループは、新しいドメインの所有者と、新しいドメインのサービスの管理方法を信頼します。All groups participating in the forest trust the new domain owner and the service management practices of the new domain.

  • 新しいドメインの所有者は、フォレストの所有者と他のすべてのドメイン所有者を信頼します。The new domain owner trusts the forest owner and all the other domain owners.

  • 新しいドメインの所有者がサービス管理者の管理と選択ポリシーと同等かそれよりも自分より厳密なプラクティスがあるフォレスト内のすべてのドメイン所有者に同意します。All domain owners in the forest agree that the new domain owner has service administrator management and selection policies and practices that are equal to or more strict than their own.

  • 新しいドメインに新しいドメインの所有者によって管理されるドメイン コント ローラーが物理的に安全である、フォレスト内のすべてのドメイン所有者に同意します。All domain owners in the forest agree that domain controllers managed by the new domain owner in the new domain are physically secure.

場合は、フォレスト所有者デリゲート ドメイン レベルのサービスの管理、ドメインの所有者に、その他のグループがそのドメインの所有者を信頼していない場合、そのフォレストに参加が選択可能性がありますに注意してください。Note that if a forest owner delegates domain-level service management to a domain owner, other groups might choose not to join that forest if they do not trust that domain owner.

すべてのドメイン所有者は、これらの条件のいずれかの変更と、今後、ようになります複数フォレストの展開に組織のドメインを移動するために必要な対応である必要があります。All domain owners must be aware that if any of these conditions change in the future, it might become necessary to move the organizational domains into a multiple forest deployment.

注意

Windows Server 2008 の Active Directory ドメインにセキュリティ上のリスクを最小限にする別の方法では、Active Directory インフラストラクチャの読み取り専用ドメイン コント ローラー (RODC) の展開を必要と管理者の役割の分離を使用します。Another way to minimize security risks to a Windows Server 2008 Active Directory domain is to employ administrator role separation, which requires the deployment of a read-only domain controller (RODC) in your Active Directory infrastructure. RODC は、Active Directory データベースの読み取り専用のパーティションをホストする Windows Server 2008 オペレーティング システムのドメイン コント ローラーの新しい型です。An RODC is a new type of domain controller in the Windows Server 2008 operating system that hosts read-only partitions of the Active Directory database. Windows Server 2008 のリリースでは、前に、ドメイン コント ローラーでサーバー メンテナンス作業は、ドメイン管理者が実行する必要があります。Before the release of Windows Server 2008 , any server maintenance work on a domain controller had to be performed by a domain administrator. Windows Server 2008 では、そのユーザーのドメインまたはその他のドメイン コント ローラーの管理者権限を付与せず任意のドメイン ユーザーを RODC のローカルの管理者権限を委任できます。In Windows Server 2008 , you can delegate local administrative permissions for an RODC to any domain user without granting that user any administrative rights for the domain or other domain controllers. これにより、委任されたユーザーを RODC にログオンし、サーバー上のドライバーをアップグレードするなどのメンテナンス作業を実行できます。This permits the delegated user to log on to an RODC and perform maintenance work, such as upgrading a driver, on the server. ただし、この委任されたユーザーは他のドメイン コント ローラーにログオンまたはドメイン内の他のすべての管理タスクを実行できません。However, this delegated user cannot log on to any other domain controller or perform any other administrative task in the domain. これにより、信頼されているユーザーができる他のドメインのセキュリティを損なうことがなく、RODC を効果的に管理する権限を委任します。In this way, any trusted user can be delegated the ability to effectively manage the RODC without compromising the security of the rest of the domain. Rodc の詳細については、AD DS を参照してください: Read-Only ドメイン コントローラー (https://go.microsoft.com/fwlink/?LinkId=106616)。For more information about RODCs, see AD DS: Read-Only Domain Controllers (https://go.microsoft.com/fwlink/?LinkId=106616).