2012年11月30日金曜日

フォレストの信頼 VS 外部の信頼

  • このエントリーをはてなブックマークに追加


フォレストの信頼と外部の信頼の違いについては、メモしておきます。

フォレストの信頼(Forest Trust)
  • Windows Server 2003から構成可能
  • 2つのフォレストのルートドメインの間でフォレストの信頼を結ぶ
  • フォレストの信頼を結ぶと、各フォレスト内のドメインとの信頼関係が確立される(推移性がある)
  • 信頼は一方向(入力方向、出力方向)または双方向で構成できる
  • 信頼が確立したら、信頼される側のフォレスト内のユーザーが信頼する側のフォレスト内のリソースを利用できる
  • フォレストの信頼を作成する前に、全DCがWindows Server 2003であること、ADの機能レベル(2003)を上げることが必要

外部の信頼(External Trust)
  • Windows NT 4.0 ドメインにあるリソースや、フォレストの信頼で結ばれていない別のフォレストのドメインにあるリソースにアクセスできるようにするには、外部の信頼を使用する
  • 異なるフォレスト内の任意の2つのドメインの間で信頼関係を確立する。それ以外のドメイン間の信頼関係は確立されない。(推移性がない)
  • 信頼は一方向(入力方向、出力方向)または双方向で構成できる

TDO(Trusted Domain Object)というオブジェクトが信頼関連の情報を保存します。
外部の信頼の場合は、TDOが信頼先のドメイン名、SID(Security Identifier)、信頼の方向、信頼の種類などの属性を保存している
フォレストの信頼の場合は、上記の以外にForest Trust Informationという属性が含まれる。Forest Trust Information属性には信頼先フォレスト内のドメインの情報、ドメインツリー名などが入っている。ユーザー認証時にドメインの検索に使われる

他にもいくつか違い(認証方式など)があるので、以下の図をご参照ください。
image

情報源

Technologies for Federating Multiple Forests



What Are Domain and Forest Trusts?




この記事がお役にたちましたらシェアをお願いします:)

  • このエントリーをはてなブックマークに追加

0 件のコメント:

コメントを投稿