Active Directory内の信頼は、認証が行われるための経路を作成します。 これらは、Active Directoryドメインを相互にリンクしたり、Active DirectoryドメインをMicrosoft以外のシステムにリンクしたりするために使用されます。デモンストレーション08:56二つのドメイン間でリソースを共有するには、二つのドメインを接続する信頼または信頼が必要です。 信頼はアクセスを提供せず、宛先への経路を作成するだけです。 道路のような信頼を考える: あなたが家に行く必要があり、あなたと家の間に道路がある場合は、目的地まで運転することができます。 家がロックされている場合は、キーを持っていない限り、あなたは入ることができません。 リソースにアクセスするには、信頼を介したリソースへのパスとアクセス許可が必要です。信頼方向(一方向または2方向)信頼は、一方向または双方向にすることができます。 信頼が双方向の場合、いずれかの側のドメインが他方の側にアクセスできます。 信頼が一方向である場合、信頼を記述するために使用される用語は、通常、”ドメインAはドメインBを信頼します。”これは、ドメインAが信頼されるドメインであり、ドメインBが信頼されるドメインであることを意味します。 特定のドメインのユーザーが別のドメインのリソースにアクセスするには、そのユーザーが信頼されたドメインにいる必要があります。推移的な信頼推移的な信頼とは、信頼が作成された2つのドメインの外部に拡張できる場合です。 したがって、推移的信頼を介して接続されたドメインは、そのドメインとターゲットドメインの間に推移的信頼のパスがある場合、他のドメインにア非推移的な信頼非推移的な信頼は、それが作成されたドメインを超えて拡張されない信頼です。 ドメインAがドメインBに接続され、ドメインBが非推移的な信頼を使用してドメインCに接続されている場合、次のことが発生します。 ドメインAとドメインBは相互にアクセスできます。 ドメインAとドメインCが非推移的な信頼を使用して通信するには、ドメインAとドメインCの間に別の信頼を作成する必要があります。 あなたの目的地に到達するために二つのバスをキャッチすることのようにそれを考えますが、唯一のバスのチケッ 推移的な信頼と非推移的な信頼は一緒に機能します。 両方を使用する場合、非推移的な信頼が通過するとすぐに、ネットワークを通る経路は単に停止します。親の子信頼子ドメインを作成すると、推移的な親ドメインと子ドメインの間に推移的な信頼が自動的に作成されます。ツリーの信頼フォレスト内に新しいツリーを作成すると、ルートドメイン(フォレスト内で最初に作成されたドメイン)と新しいツリーとの間にツリーの信頼が自動的に作成されます。 それぞれの新しいツリーには、そのツリーとルートドメインの間に作成されたツリー信頼があります。 これらの信頼は推移的であり、親ドメインと子ドメインをリンクする推移的な信頼と本質的に同じです。ショートカットの信頼定期的に相互に通信する2つのドメインがある場合は、ショートカットの信頼を作成できます。 これは推移的な信頼と同じですが、ユーザーがあるドメインから別のドメインに移動するために必要な信頼の数を減らすために、管理者が手動で作成フォレストトラストフォレストトラストは、2つのActive Directoryフォレストをリンクします。 これらは管理者によって手動で作成され、推移的です。 彼らは基本的に、彼らは一緒に森林を接続する以外は、他の信頼と同じように動作します。 この信頼を作成するには、両方のフォレストがWindows Server2003フォレストの機能レベル以上である必要があります。Realm trusta realm trustは、UnixなどのWindows以外のシステム上でActive DirectoryとKerberos V5realmを接続するために使用されます。 領域の信頼を作成するには、ドメインがWindows Server2003の機能レベル以上である必要があります。 これらは、推移的または非推移的、一方向または2つにすることができます。外部信頼外部信頼は、Windows NT4などのシステムに接続するために使用される古い一方向の信頼です。 それらを双方向にするには、各方向に1つの信頼を作成できます。 それらは非推移的です。 これらは、フォレストの信頼を作成できない場合にも使用できます。、一方または両方の森林機能レベルが十分に高くない。選択的認証フォレストの信頼を作成する場合は、選択的認証またはフォレスト全体の認証を使用するオプションがあります。 ネットワーク上の特定のリソースは誰にでも公開されます。 これには、ドメインコントローラからの認証が含まれます。 選択的認証を使用する場合は、ユーザーがアクセスできるリソースを指定する必要があります。 これにより、管理者はより多くの制御を行うことができます。 この設定は、会社と外部の会社との間でフォレストの信頼を作成するときに使用する必要があります。Sid FilteringUserアカウントには、Sid historyと呼ばれる領域があります。 ユーザーアカウントがあるドメインから別のドメインに移行されると、Sid履歴には古いドメインのSidが含まれます。 Sid履歴を使用すると、ユーザーは古いSidを使用してアクセス許可が定義されているときにリソースにアクセスできます。 Windows Server2003以降では、信頼を介して移動するときにSid履歴が削除されます。 これはセキュリティ上の理由から行われ、無効にすることができます。デモActive Directoryの信頼関係を変更するには、管理ツールからActive Directoryドメインと信頼関係を開きます。 これにより、フォレスト内のすべてのドメインと、それらのドメインの信頼、手動で作成された信頼、または自動的に作成された信頼が表示されます。 新しい信頼を作成するには、いずれかのドメインのプロパティを開き、タブ”信頼”を選択します。”信頼”タブの下部にある”新しい信頼”オプションを選択して、信頼ウィザードを起動します。信頼ウィザードは、ほとんどの場合、必要な信頼の種類を検出します。 反対側の検出に失敗した場合は、DNSの問題またはファイアウォールの問題がある可能性があります。 この場合、作成する信頼を手動で選択できます。 もう一方の端に信頼を作成するには、ユーザー名とパスワードの入力を求められます。 これがない場合は、反対側の管理者が反対側でウィザードを実行する必要があります。 場合によっては、信頼を作成するために、共有パスワードをそれぞれの側で合意して入力する必要があります。選択的認証を使用してフォレストの信頼を作成すると、このフォレストの信頼を経由するユーザーは、既定ではドメインコントローラーから認証できなく 認証を許可するには、権限を付与する必要があります。 これを行うには、”Active Directoryユーザーとコンピュータ”を開きます。”表示するオプションを選択するには、”表示”に移動し、”高度な機能”が有効になっていることを確認する必要があります。 アクセスを有効にするには、ドメインコントローラのセキュリティを開き、ユーザーが”認証を許可”権限を持っていることを確認します。”
Leave a Reply