2011年8月19日のエントリー、「異なるフォレスト間でのADサーバの信頼関係構築と、アカウント移行」は、とても人気がありますねえ。
貴公子のサイト内、アクセスランキングでは、常時トップ5に入るエントリーです。
まあ、皆さん、Windows ServerのAD構築では苦労している証左だと思います。
さて、Windows Serverに於けるForest Trustの設定に関し、再確認した事があるので、
アップします。
今回、再確認したのは、ADサーバーにおいて、「Forest Function Levelが、Windows2000」設定となっている場合(OSが、Windows2003とか2008であっても、Function Levelが W2000である事があるので要注意)は、Forest間信頼の設定はできない。」と言う事です。
これは、Windows2000Serverでは、そもそもForest間信頼と言う考え方がなかった事に起因します。
下記のサイトに明記されております。
http://www.windowsnetworking.com/articles_tutorials/Creating-Trusts-Between-Forests.html
>Forest trusts only exist in Windows Server 2003. What this means is that you can not create a >trust between a Windows 2000 forest and a Windows Server 2003 forest.
>Creating a forest trust has the implication of creating external trusts between each of the >forest's domains. For example, if you were to create a trust between Forest
>A and Forest B, then every domain in Forest A would trust every domain in Forest B,
>and visa versa.
まあ、当たり前の事なのですが、ここまで、クリアに明記されている記事はなかったので、これを読んで、貴公子も、本件が「確信」に変わりました。(笑)
まあ、結構、見落としている人も多い様な気がします。
因みに、"Forest Trust"が結べるのならば、Defaultで、SIDフィルターが無効になります。
言い換えれば、信頼関係を結んだForest同士内のADサーバ間で、SIDフィルターはかかりません。
逆に言えば、Forest間信頼(Forest Trust)が設定できない環境下 (例えば、「Forest Function LevelがWindows2000」となっているForestと、「Forest Function LevelがWindow2003以上」となっているForest間環境下等)に於いて、SIDフィルターを解除したい場合(無効にしたい場合)には、External Trust設定を施さないといけない。
→ くどいようですが、上記環境下では、Forest Trustは設定し得ないので、External Trust設定で代用せざるを得ません。
この辺の事は、ここにも書いてあります。
http://technet.microsoft.com/en-us/library/cc755427(v=ws.10).aspx
(貴公子注、この記事はW2000に関して記載した記事です。)
>You can create an external trust to form a one-way or two-way, nontransitive trust with >domains outside of your forest. External trusts are sometimes necessary when
>users need access to resources located in a Windows NT 4.0 domain or in a domain located >within a separate forest that is not joined by a forest trust, as shown in the figure.
http://news.mynavi.jp/series/AD/083/index.html
(貴公子注、この記事はW2003に関して記載した記事です。)
>ひとつのフォレストに複数のドメインを用意してドメインツリーを構成した場合、そのドメインツリー
>を構成する個々のドメインの間では、自動的に双方向の信頼関係を設定する。そのため、
>同じフォレストに属するドメイン同士であれば、特に信頼関係の設定を行わなくても、
>相互にアクセス権の設定を行えるようになっている。
本件に関する関連項目は、ここにもあります。
http://technet.microsoft.com/en-us/library/dd145367.aspx
>SID filtering helps ensure that any misuse of the SIDHistory attribute on security principals
>(including inetOrgPerson) in the trusted forest cannot pose a threat to the integrity of the >trusting forest.
>The SIDHistory attribute can be useful to domain administrators when they migrate
>user accounts and group accounts from one domain to another. Domain administrators
>can add SIDs from an old user account or group account to the SIDHistory attribute
>of the new, migrated account. By doing this, domain administrators give the new account
>the same level of access to resources as the old account.
この記事も参考になると思います。
http://technet.microsoft.com/en-us/library/cc771294.aspx
0 件のコメント:
コメントを投稿