必要なフォレスト数を決定する
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
展開する必要のあるフォレストの数を決定するには、組織内の各グループの分離と自律性の要件を慎重に特定して評価し、それらの要件を適切なフォレスト設計モデルにマッピングする必要があります。
組織に展開するフォレストの数を決定するときは、次の点を考慮してください。
分離要件によって設計上の選択肢が制限されます。 そのため、分離要件を特定する場合は、グループが実際にデータの分離を必要としていることと、そのニーズに対してデータの自律性が十分ではないことを確認してください。 組織内のさまざまなグループで分離と自律性の概念が明確に理解されていることを確認してください。
設計の協議には時間がかかることがあります。 グループが所有権と利用可能なリソースの使用について合意することは困難な場合があります。 組織内のグループが適切な調査を実施してニーズを特定できるように、十分な時間を確保してください。 設計上の決定に対する確実な期限を設定し、確定した期限についてすべての当事者から合意を得ます。
デプロイするフォレストの数を決定する際は、コストとメリットのバランスを取ることも必要になります。 単一フォレスト モデルは最もコスト効率の高いオプションであり、必要な管理オーバーヘッドは最小限で済みます。 組織内のグループは自律的なサービス運用を好む場合もありますが、組織が一元化された信頼できる情報技術 (IT) グループからのサービス配信をサブスクライブする方が、コスト効率が高くなる可能性があります。 これにより、サービス管理の追加コストを発生させることなく、グループがデータ管理を所有することができます。 コストとメリットのバランスを取るには、エグゼクティブ スポンサーからの資金が必要になる場合があります。
単一フォレストは、管理が最も容易な構成です。 次の理由により、環境内でのコラボレーションが最大限になります。
単一フォレスト内のすべてのオブジェクトがグローバル カタログの一覧に登録されます。 そのため、フォレスト間の同期は必要ありません。
重複するインフラストラクチャの管理は必要ありません。
2 つの独立した自律 IT 組織による単一フォレストの共同所有はお勧めしません。 将来的に、2 つの IT グループの目標が変わり、共有制御を受け入れることができなくなる場合があります。
複数の外部パートナーにサービス管理をアウトソーシングすることはお勧めしません。 さまざまな国や地域にグループを持つ多国籍企業は、国または地域ごとに異なる外部パートナーにサービス管理をアウトソーシングすることを選択する場合があります。 複数の外部パートナーは相互に分離することはできないため、あるパートナーのアクションが別のパートナーのサービスに影響を与える可能性があります。これにより、パートナーにサービス レベル アグリーメントの責任を負わせることが困難になります。
Active Directory ドメインのインスタンスは、常に 1 つだけ存在する必要があります。 Microsoft では、同じドメインの 2 つ目のインスタンスを確立しようとして、ドメイン コントローラーを 1 つのドメインから複製、分割、またはコピーすることはサポートしていません。 この制限の詳細については、次のセクションを参照してください。
再構築に関する制限事項
会社が別の会社、部署、または製品ラインを取得する際、購入する会社は販売者から対応する IT 資産を取得する必要がある場合もあります。 具体的には、購入者は、取得するビジネス資産に対応するユーザー アカウント、コンピューター アカウント、セキュリティ グループをホストするドメイン コントローラーの一部またはすべてを取得する必要がある場合があります。 購入者が販売者の Active Directory フォレストに格納されている IT 資産を取得するためにサポートされているのは、次の方法のみです。
販売者のフォレスト全体のすべてのドメイン コントローラーとディレクトリ データを含む、フォレストの唯一のインスタンスを取得します。
販売者のフォレストまたはドメインから、必要なディレクトリ データを購入者の 1 つ以上のドメインに移行します。 このような移行のターゲットは、まったく新しいフォレストであるか、購入者のフォレストに既に展開されている 1 つ以上の既存のドメインである可能性があります。
このサポートの制限は次の理由で発生します。
Active Directory フォレスト内の各ドメインには、フォレストの作成時に一意の ID が割り当てられます。 元のドメインから複製されたドメインにドメイン コントローラーをコピーすると、ドメインとフォレストの両方のセキュリティが侵害されます。 元のドメインと複製されたドメインに対する脅威には、次のようなものがあります。
リソースへのアクセスに使用できるパスワードの共有
特権のあるユーザー アカウントとグループに関する分析情報
IP アドレスのコンピューター名へのマッピング
複製されたドメインのドメイン コントローラーが元のドメインのドメイン コントローラーとネットワーク接続を確立する場合のディレクトリ情報の追加、削除、変更
複製されたドメインは共通のセキュリティ ID を共有します。したがって、ドメインの 1 つまたは両方の名前が変更された場合でも、それらの間に信頼関係を確立することはできません。
このセクションの内容
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示