複数フォレスト内のドメイン間の接続を管理する
一部のシナリオでは、複数のフォレスト間でディレクトリ サービスに接続できる必要があります。
次のような理由から、組織では多くの場合、複数フォレスト展開が計画されます。
サービスの自立性 : 運用上の必要性から、組織全体に対応するサービスではなく、地理的に分散して展開させるなど、個々の部署ごとにサービスを実装しなければならない場合があります。
サービスの分離 : 法律上または運用上の必要性から、サービスの完全な分離が必要となる場合があります。1 つの例として、各顧客の展開を別のフォレストでホストしているホスト環境が挙げられます。
データの分離 : シナリオによっては、組織のデータが共有されていても、重要なデータについては組織内の特定の人だけが表示できる場合があります。これは、金融サービスの会社では比較的一般的な状況です。
計画的なものではなく、組織の構造やビジネス ニーズが想定外に変化した結果、複数フォレスト展開になる場合もあります。これらの展開の例としては、次のようなものがあります。
合併や買収 : 2 つ以上の別々の会社が 1 つになる場合、新しい組織のユーザーが相互に検索でき、グループ作業ができる必要があります。
分割 : 1 つの会社の単一ドメインを 2 つ以上の組織に分割する計画では、2 つ以上のフォレストへの移行が必要です。移行時には、新しいフォレスト間で、一定レベルの一時的なグループ作業と個人用設定が必要になります。
テスト フォレスト : ホスト展開は実装前にテストされます。ほとんどのテストでは、サービスが別個になっている必要がありますが、テスト フォレストのユーザーは、他のフォレストのユーザーに関する情報を表示できる必要があります。
草の根展開 : 組織内のある部署が、組織全体の IT 計画とは別にフォレストを作成し、それを組織全体の展開に統合する必要が生じる場合があります。統合時には、草の根展開が不要になったか、組織全体の IT 計画に新たに加えてサポートされることになったかに応じて、一定レベルのグループ作業と個人用設定が必要になります。
サービスの自立性、サービスの分離、データの分離は、Microsoft Office SharePoint Server 2007 内に複数の共有サービス プロバイダ (SSP) があるというシナリオの要因にもなりますが、関連するサービスはさまざまであり、複数のフォレストを使用するという決定と複数の SSP を使用するという決定は異質のものです。
ディレクトリ サービスは、これらの想定されるすべてのシナリオの影響を受ける重要なサービスの 1 つです。シナリオによっては、ユーザーは個人用設定データを共有する組織内のすべてのフォレストに接続します。その結果、ディレクトリ情報が共有サービス プロバイダ (SSP) を超えて利用できるようになり、グループ作業や組織全体のユーザーに関する情報の検索、あるいは組織内のさまざまな対象ユーザーのみに特定の情報を表示する処理を行うことができます。Office SharePoint Server 2007 の共有サービス以外のすべてのサービスでは、Office SharePoint Server 2007 の展開前と同じレベルの自立性と分離性が維持されます。共有する情報量と、その共有方法および共有期間は、個々のシナリオによって異なります。
既定では、現在のドメインまたはフォレスト内のディレクトリ サービスに接続して、これらのソースからディレクトリ サービス情報をインポートするように Office SharePoint Server 2007 を構成できます。複数のフォレストへの接続を追加するには、ユーザー設定のオプションを選択し、インポートっするディレクトリ情報を持つ各フォレストへの接続を構成します。これにより、複数フォレストのユーザーのユーザー プロファイルをインポートして、これらのユーザーの一部または全員をコンテンツの対象としたり、個人用設定を行ったりできます。
ユーザーが少数のフォレストに集約されたり、特定のユーザーに接続するビジネス ニーズがなくなったりすると、フォレストへのインポート接続が時間の経過と共に不要になる場合があります。フォレスト間の接続は、インポート接続の削除方法と同じ方法で削除できます。詳細については、「インポート接続を削除する」を参照してください。
複数のフォレスト間でユーザーとグループを選択する
複数のフォレスト間でユーザーを選択するには、ユーザー選択ウィンドウ Web コントロールとも呼ばれる [ユーザーとグループの選択] ダイアログ ボックスを使用して、さらに手順を実行する必要が生じる場合もあります。Web アプリケーションのアプリケーション プール アカウントが他のフォレストに対するアクセス権を持っている場合、その Web アプリケーションは個人用設定情報へのアクセス権を持ち、接続されたフォレスト内のすべてのユーザーが Web アプリケーションのユーザー選択ウィンドウに表示されます。アプリケーション プール アカウントにアクセス権がなくても、対象とするドメインまたはフォレストが現在のドメインまたはフォレストで信頼されている場合は、サーバー ファーム内の各 Web アプリケーションでユーザー選択ウィンドウに関する Stsadm コマンドライン ツールを実行する必要があります。対象とするドメインまたはフォレストが現在のドメインまたはフォレストで信頼されていない場合、Web アプリケーションが構成されているサーバー ファーム内のすべてのサーバーに対してパスワードを構成する Stsadm を、最初に実行する必要があります。パスワードはファーム内のすべてのサーバーで同じであり、サーバー ファームごとに一意にする必要があります。パスワードを構成してから、サーバー ファーム内の各 Web アプリケーションで Stsadm を実行します。
複数のフォレスト ドメイン間のディレクトリ サービス接続を管理するには、次の手順のどちらかまたは両方を実行します。