Windows NT編24

上へ
Windows NT編1
Windows NT編2
Windows NT編3
Windows NT編4
Windows NT編5
Windows NT編6
Windows NT編7
Windows NT編8
Windows NT編9
Windows NT編10
Windows NT編11
Windows NT編12
Windows NT編13
Windows NT編14
Windows NT編15
Windows NT編16
Windows NT編17
Windows NT編18
Windows NT編19
Windows NT編20
Windows NT編21
Windows NT編22
Windows NT編23
Windows NT編24

emailed.gif (15360 バイト)質問、意見

 

 

第二十六章 信頼関係とドメインモデル

26-1、信頼関係

小規模な組織では、アカウントと資源を 1 つのドメインで管理できるが、大規模な組織では、一般に複数のドメインを設定する。通常、複数のドメインを設定する場合は、アカウントを 1 つのドメインに格納し、資源を別のドメインに置く。Windows NT Server ディレクトリ サービスでは、信頼関係を通じて、複数のドメインにまたがるセキュリティを提供している。信頼関係とは、2 つのドメインを結合して 1 つの管理単位として扱うためのリンクのことで、これにより、両方のドメインの資源へのアクセスに対して権限を付与できる。

信頼関係には、次の 2 つの種類がある

一方向の信頼関係:一方向の信頼関係では、一方のドメインがもう一方のドメインのユーザーを信頼し、これらのユーザーがそのリソースを使えるようにする。利用できるようになるリソースは、信頼する側のドメインのものであり、リソースを使用できるアカウントは、信頼される側のドメインのアカウントである。ただし、信頼する側のドメインのユーザーアカウントを使って、信頼される側のドメインのリソースを使う必要がある場合は、双方向の信頼関係が必要になる。

双方向の信頼関係:双方向の信頼関係は、一方向の信頼関係が対になったもので、2 つのドメインが互いに信頼し合うものである。ユーザーは、どちらのドメインのコンピューターからでも、アカウントのあるドメインにログオンできる。

注:信頼関係は、Windows NT Server ドメイン間でだけ作成できる

○2 つのドメイン間で信頼関係を作成する

ドメイン ユーザー マネージャ>[原則] メニュー> [信頼関係]

  1. 信頼される側となるドメインで、そのドメインを信頼するドメインの一覧に、信頼する側となるドメインを追加する

  2. 信頼する側となるドメインで、そのドメインが信頼するドメインの一覧に、信頼される側となるドメインを追加する

マイクロソフトは[信頼する側のドメイン] の関係を確立してから、[信頼される側のドメイン] の関係を確立することを勧めている。この順序で信頼関係を作成すると、初めて信頼関係を使うときに、信頼関係の設定のために使われるパスワードがすぐに検証されるようである。

26-2、ドメインモデル

a) シングル ドメイン モデル

シングル ドメイン モデルでは、ネットワーク上に 1 つしかドメインがない。シングル ドメインには、1 台のプライマリ ドメイン コントローラと 1 つまたは複数台のバックアップ ドメイン コントローラがある。プライマリ  ドメイン コントローラとバックアップ ドメイン コントローラは、2,000 から 2,500 のユーザー アカウントをサポートできる。

シングル ドメイン モデルは、ユーザー アカウントの集中管理と管理のしやすさの両方を求める組織にとって、適切な選択である。Domain Admins グループのメンバーはだれでも、すべてのネットワーク サーバーと、プライマリ ドメイン コントローラ上のすべてのドメイン アカウントを管理できる。ネットワークのユーザー数とグループ数が少なく、良好なパフォーマンスを確保できる場合は、ネットワークでシングル ドメイン モデルを使用できる。シングル ドメイン モデルで対応できる正確なユーザー数とグループ数は、ドメイン内のサーバー数とサーバーのハードウェアによって異なる。

b) マスタ ドメイン モデル

マスタ ドメイン モデルでは、1 つのドメイン (マスタ ドメイン) が、ユーザー アカウントとグループ アカウントを集中的に管理する単位として機能する。すべてのユーザーは、マスタ ドメインにある自分のアカウントにログオンする。プリンタやファイル サーバーなどのリソースは、別のドメインに置かれる。それぞれのリソース ドメインは、マスタ ドメインとの間に一方向の信頼関係を確立するため、マスタ ドメインにユーザー アカウントのあるユーザーは、他の全てのドメインのリソースを使用できる。

シングル マスタ ドメイン モデルは、次のような必要性がある場合に適している

アカウントの集中管理:1 か所でユーザー アカウントを追加、削除、および変更でき、ユーザー アカウントを集中的に管理できる

リソースの分散管理:リソースのあるドメインで、そのリソースを管理する独自の管理者を設けることができる

c) マルチ マスタ ドメイン モデル

マルチ マスタ ドメイン モデルでは、2 つ以上のシングル マスタ ドメインがある。シングル マスタ ドメイン モデルの場合と同じように、マスタ ドメインは、アカウント ドメインとして機能する。マルチ マスタ ドメイン モデルでは、どのマスタ ドメインも、他の全てのマスタ ドメインと双方向の信頼関係を確立する。また、どのリソース ドメインも、全てのマスタ ドメインを一方向の信頼関係によって信頼する。

マルチ マスタ ドメイン モデルは、シングル マスタ ドメイン モデルのすべての機能を持ち、ユーザー数が 40,000 を超える組織のようなケースにも対応できる。

26-3、アカウント データ ベース サイズ計算

ドメインが要求するアカウント タイプの数により、ディレクトリー サービス アカウントによって使用される、ディスク スペースの合計を計算する

ユーザー アカウント:1.0 KB

コンピューター アカウント:0.5 KB

グローバル グループ アカウント:0.5KB+メンバー一人あたり12バイト

ローカル グループ アカウント:0.5KB+メンバー一人あたり36バイト

ディレクトリー サービス データ ベースは40MBを超過してはならない

26-4、WANの効率運用

バックアップ ドメイン コントローラの分散

LAN と WAN の相互運用を容易にするために、バックアップ ドメイン コントローラをサイト間で分散できる。ドメインがWANリンクでつながっている場合、個々の遠隔のサイトに常にBDCを装備するべきである。WANリンクの他の端にあるドメインコントローラーに接続せずにユーザは個々の遠隔のサイトでローカルのBDCによってログオンすることができる。これはログオンのスピードアップとともにWANリンク上のログオン認証のトラフィックを減少することができる。