フォレストの設計モデル

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

Active Directory 環境では、次の 3 つのフォレスト設計モデルのいずれかを適用できます。

• 組織フォレスト モデル

• リソース フォレスト モデル

• 制限付きアクセスのフォレスト モデル

組織内のすべての異なるグループのニーズを満たすために、これらのモデルの組み合わせを使用する必要がある場合があります。

組織フォレスト モデル

組織フォレスト モデルでは、ユーザー アカウントとリソースはフォレストに含まれるので、個別に管理されます。 フォレストがフォレスト外のユーザーからのアクセスを防止するように構成されている場合、組織フォレストを使用して、サービスの自律性、サービスの分離、またはデータの分離を提供できます。

ある組織フォレスト内のユーザーが他のフォレスト (またはその逆) のリソースにアクセスする必要がある場合は、1 つの組織フォレストと他のフォレストの間で信頼関係を確立できます。 これにより、管理者は他のフォレストのリソースへのアクセスを許可できます。 次の図は、組織フォレスト モデルを示しています。

すべての Active Directory 設計には、少なくとも 1 つの組織フォレストが含まれています。

リソース フォレスト モデル

リソース フォレスト モデルでは、リソースを管理するために別のフォレストが使用されます。 リソースフォレストには、サービス管理に必要なユーザー アカウントと、組織フォレストのユーザー アカウントが使用できなくなった場合にそのフォレスト内のリソースに代替アクセスを提供するために必要なユーザー アカウント以外のユーザー アカウントは含まれません。 他のフォレストのユーザーがリソース フォレストに含まれるリソースにアクセスできるように、フォレストの信頼が確立されます。 次の図は、リソース フォレスト モデルを示しています。

リソース フォレストは、高可用性の状態を維持する必要があるネットワークの領域を保護するために使用されるサービス分離を提供します。 たとえば、会社の中に製造施設があり、他のネットワークに問題が発生した場合でも操業を続ける必要がある場合、製造グループ用に別のリソース フォレストを作成することができます。

制限付きアクセスのフォレスト モデル

制限付きアクセスのフォレスト モデルでは、他の組織から分離する必要があるユーザー アカウントとデータを含む別のフォレストが作成されます。 制限付きアクセスのフォレストは、プロジェクト データの漏洩が深刻な状況にある場合に、データの隔離を可能にします。 次の図は、制限付きアクセスのフォレスト モデルを示しています。

信頼が存在しないので、他のフォレストのユーザーに制限付きデータへのアクセスを許可することはできません。 このモデルでは、ユーザーは、一般的な組織のリソースにアクセスするために組織フォレストにアカウントを持ち、機密データにアクセスするために制限付きアクセスのフォレスト内に別のユーザー アカウントを持っています。 これらのユーザーには、2 つの別々のワークステーションが必要です。1 つは組織フォレストに接続され、もう 1 つは制限付きアクセスのフォレストに接続されています。 これにより、1 つのフォレストのサービス管理者が制限付きフォレスト内のワークステーションにアクセスできる可能性から保護されます。

極端なケースでは、制限付きアクセスのフォレストが別の物理ネットワーク上に維持される場合があります。 機密の政府機関プロジェクトに取り組む組織は、セキュリティ要件を満たすために、個別のネットワーク上に制限付きアクセスのフォレストを維持する場合があります。