次の方法で共有


プライマリ ドメインと信頼されたドメイン

次の用語では、リモート システムに存在するドメインについて説明します。

  • プライマリ ドメイン
  • 信頼されたドメイン する

プライマリ ドメイン

プライマリ ドメインは、さらなる信頼関係の確立と認証の実行 (または適切な信頼されたドメインへの認証要求の受け渡し) を担当するドメインです。 プライマリ ドメイン内のドメイン コントローラーは、ワークステーションから送信された認証要求を処理またはパスします。

ログオンが発生すると、LSA は、組み込みドメインとアカウント ドメインで認証情報を確認します。 ログオンしているアカウントがどちらのドメインにも存在しない場合、ログオン要求はシステムのプライマリ ドメインに渡されます。

信頼されたドメイン

信頼されたドメインは、ローカル システムがユーザーを認証するために信頼するドメインです。 つまり、ユーザーまたはアプリケーションが信頼されたドメインによって認証された場合、この認証は、認証ドメインを信頼するすべてのドメインによって受け入れられます。

各下位ドメインには、メイン ドメインとの双方向の信頼関係が自動的に設定されます。 既定では、この信頼は推移的です。つまり、システムがドメイン A を信頼する場合は、ドメイン A が信頼するすべてのドメインも信頼します。 一方向の信頼は、推移的な双方向の信頼をサポートしていない Windows 2000 より前のオペレーティング システムでもサポートされています。

Local Security Authority (LSA) には、信頼されたドメインの名前と セキュリティ識別子 (SID)、認証要求に使用するドメイン内のアカウント、名前、SID 変換要求など、信頼関係に関する情報を格納するために使用されるオブジェクトの種類 TrustedDomainがあります。 および信頼されたドメイン内のドメイン コントローラーの名前。

ドメイン コントローラーでは、LSA はローカル システムによって信頼された各ドメインの TrustedDomain オブジェクトのインスタンスを作成します。

たとえば、Windows XP ワークステーションが、他の 4 つのシステムを信頼する Windows 2000 ドメイン コントローラーを信頼する場合、推移的信頼を使用して接続されたワークステーションには、ローカル システムに 5 つの TrustedDomain オブジェクトが含まれます。