none
Active Directory の信頼関係に関して RRS feed

  • 質問

  • 下記のような条件での信頼関係に関して2点お教えいただけますでしょうか。

    条件:
    ドメインaはフォレストA内のドメイン(ドメイン機能:Windows2003,フォレスト機能:Windows2003)
    ドメインbはフォレストB内のドメイン(ドメイン機能:Windows2000混在,フォレスト機能:Windows2000)

    I.
    ドメインaから別フォレストのドメインBに対して一方向(出力)の信頼関係を作成した場合、
    ドメインbからドメインaのリソース等にアクセスできるようになるのはわかったのですが
    逆にドメインa(のDC)はドメインbのディレクトリ情報を参照(アクセス)できるのでしょうか?

    Ⅱ.
    ドメインbからはドメインaのリソースだけではなく、ドメインaにあるKerberos認証を用いたシステムを使用したいと考えた場合、
    「外部の信頼」はKerberos認証に対応していないため、「領域の信頼」もしくは
    ドメインbの機能レベルを上げた上での「フォレストの信頼」以外に方法は無いと考えていますが正しいでしょうか?
    2009年6月1日 8:30

回答

  • チャブーンです。

    > 逆にドメインa(のDC)はドメインbのディレクトリ情報を参照(アクセス)できるのでしょうか?

    できません。そのための信頼関係の設定(片方向)なので。ドメインBの"ユーザやグループオブジェクト"の検索はできます。そうしないと、自分のリソースをドメインBのユーザに"使わせてあげる"(アクセス許可を設定する)ことができませんので。

    > ドメインbからはドメインaのリソースだけではなく、ドメインaにあるKerberos認証を用いたシステムを使用したいと考えた場合、

    kerberos 認証のシステム? の内容によるでしょうが、基本的にはフォレストの信頼をつかって行うのではないでしょうか。領域の信頼、というのは非 Windows の Kerberos 領域に対して利用するものです。"ドメインaにあるKerberos認証を用いたシステム" って、ドメインaのKDCを使ってkerberos認証するシステム、のことをおっしゃってると思いますので、対象外だと思いますけれど。
    • 回答としてマーク ちゃぽ 2009年6月10日 14:11
    2009年6月4日 4:25
    モデレータ

すべての返信

  • チャブーンです。

    > 逆にドメインa(のDC)はドメインbのディレクトリ情報を参照(アクセス)できるのでしょうか?

    できません。そのための信頼関係の設定(片方向)なので。ドメインBの"ユーザやグループオブジェクト"の検索はできます。そうしないと、自分のリソースをドメインBのユーザに"使わせてあげる"(アクセス許可を設定する)ことができませんので。

    > ドメインbからはドメインaのリソースだけではなく、ドメインaにあるKerberos認証を用いたシステムを使用したいと考えた場合、

    kerberos 認証のシステム? の内容によるでしょうが、基本的にはフォレストの信頼をつかって行うのではないでしょうか。領域の信頼、というのは非 Windows の Kerberos 領域に対して利用するものです。"ドメインaにあるKerberos認証を用いたシステム" って、ドメインaのKDCを使ってkerberos認証するシステム、のことをおっしゃってると思いますので、対象外だと思いますけれど。
    • 回答としてマーク ちゃぽ 2009年6月10日 14:11
    2009年6月4日 4:25
    モデレータ
  • チャブーンさん、両方の質問に回答いただきありがとうございます。

    自分のなかでぼやけていたところを形にしていただいた回答でした。

    ありがとうございました。
    2009年6月10日 14:29