プライマリ ドメインと信頼されたドメイン

次の用語では、リモート システム上に存在するドメインについて説明します。

Primary Domain

プライマリ ドメインとは、さらに信頼関係を確立し、認証を実行する (または適切な信頼されたドメインに認証要求を渡す) ドメインです。 プライマリ ドメイン のドメイン コントローラーは、ワークステーションから送信された認証要求を処理するか、渡します。

ログオンが発生すると、LSA は組み込みドメインとアカウント ドメインで認証情報を確認します。 ログオンしているアカウントがどちらのドメインにも存在しない場合、ログオン要求はシステムのプライマリ ドメインに渡されます。

信頼されたドメイン

信頼されたドメインは、ローカル システムがユーザーを認証するために信頼するドメインです。 つまり、ユーザーまたはアプリケーションが信頼されたドメインによって認証されている場合、この認証は、認証ドメインを信頼するすべてのドメインで受け入れられます。

各下位ドメインには、メイン ドメインとの双方向の信頼関係が自動的に設定されます。 既定では、この信頼は推移的です。つまり、システムがドメイン A を信頼する場合は、ドメイン A が信頼するすべてのドメインも信頼します。 一方向の信頼は、推移的な双方向の信頼をサポートしていない Windows 2000 より前のオペレーティング システムでもサポートされています。

ローカル セキュリティ機関 (LSA) には、信頼されたドメインの名前とセキュリティ識別子 (SID)、認証要求に使用するドメイン内のアカウント、名前と SID 変換要求、信頼されたドメイン内のドメイン コントローラーの名前など、信頼関係に関する情報を格納するために使用されるオブジェクトの種類 TrustedDomain があります。

ドメイン コントローラーでは、LSA によって、ローカル システムによって信頼される各ドメインの TrustedDomain オブジェクトのインスタンスが作成されます。

たとえば、Windows XP ワークステーションが他の 4 つのシステムを信頼する Windows 2000 ドメイン コントローラーを信頼する場合、推移的信頼を使用して接続されたワークステーションは、ローカル システムに 5 つの TrustedDomain オブジェクトを持ちます。