組織のドメイン フォレスト モデルを使用します。
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
組織のドメイン フォレスト モデルでは、いくつかの自律的なグループは、フォレスト内のドメインを所有します。 各グループは、フォレストの所有者は、フォレスト レベルのサービス管理を制御しながら、自律的にサービス管理の特定の側面を管理することが可能なドメイン レベルのサービス管理を制御します。
次の図は、組織のドメイン フォレスト モデルを示しています。
ドメイン レベルのサービスの独立性
組織のドメイン フォレスト モデルでは、ドメイン レベルのサービス管理のための権限の委任を使用します。 次の表は、ドメイン レベルで制御できるサービス管理の種類を示します。
| サービス管理の種類 | 関連するタスク |
|---|---|
| ドメイン コント ローラーの操作の管理 | - ドメイン コント ローラーの作成および削除 - ドメイン コント ローラーの機能の監視 - ドメイン コントローラーで実行されているサービスの管理 - ディレクトリのバックアップと復元 |
| ドメイン全体の設定の構成 | - パスワード、Kerberos、およびアカウント ロックアウト ポリシーなどのドメインとドメイン ユーザー アカウントのポリシーの作成 - ドメイン全体のグループ ポリシーの作成および適用 |
| データ レベルの管理の委任 | ‐ 組織単位 (OU) の作成および管理の委任 - OU の所有者に修正する十分なアクセス権がない、OU の構造の問題の修復 |
| 外部の信頼関係の管理 | - フォレスト外のドメインとの信頼関係の確立 |
他の種類のスキーマなどのサービスの管理またはレプリケーション トポロジの管理は、フォレストの所有者の責任です。
ドメインの所有者
組織ドメイン フォレスト モデルでは、ドメインの所有者はドメイン レベルのサービス管理タスクを担当します。 ドメインの所有者は、ドメイン全体だけでなく、フォレスト内の他のすべてのドメインへのアクセスを権限を持っています。 このため、ドメイン所有者がフォレストの所有者によって選択された信頼できるユーザーをする必要があります。
次の条件が満たされた場合は、ドメインの所有者にドメイン レベル サービスの管理を委任します。
フォレストに参加しているすべてのグループは、新しいドメインの所有者とは、サービス管理の方法、新しいドメインを信頼します。
新しいドメインの所有者は、フォレストの所有者と他のドメインの所有者を信頼します。
新しいドメインの所有者にサービス管理者の管理と選択ポリシーと同等かそれよりも自分より厳密なプラクティスがあるフォレスト内のすべてのドメイン所有者が同意します。
フォレスト内のすべてのドメイン所有者は、新しいドメインに新しいドメインの所有者によって管理されるドメイン コント ローラーが物理的に安全であることを合意します。
注場合は、フォレスト所有者デリゲート ドメイン レベルのサービスの管理ドメインの所有者に、その他のグループがそのドメインの所有者を信頼していない場合、そのフォレストに参加しなければ選択可能性があります。
すべてのドメインの所有者を対応するこれらの条件の変更を加えた場合、将来必要がある複数フォレストの展開に組織のドメインに移動することがあります。
注意
Windows Server 2008 の Active Directory ドメインのセキュリティ上のリスクを最小限に抑えるには、管理者の役割を分離する方法もあります。これには、お使いの Active Directory インフラストラクチャに読み取り専用ドメイン コント ローラー (RODC) の展開する必要があります。 RODC は、Windows Server 2008 オペレーティング システムの新しいタイプのドメイン コント ローラーで、Active Directory データベースの読み取り専用のパーティションをホストします。 Windows Server 2008 がリリースされる前は、ドメイン コント ローラーでのサーバーのメンテナンス作業は、すべてドメイン管理者が実行する必要がありました。 Windows Server 2008 では、RODC のローカルの管理者権限を、任意のドメイン ユーザーに、ドメインまたはその他のドメイン コント ローラーの管理者権限を付与せずに委任できます。 これにより、委任されたユーザーを RODC にログオンし、サーバー上のドライバーをアップグレードするなどのメンテナンス作業を実行できます。 ただし、この委任されたユーザーは、その他のドメイン コント ローラーにログオンまたはドメイン内の他の管理タスクを実行することはできません。 この方法で信頼されているユーザーができる他のドメインのセキュリティを損なうことがなく、RODC を効果的に管理する権限が委任します。 RODC の詳細については、AD DS : 読み取り専用ドメイン コントローラーに関するページを参照してください。