2.1.3 複数ドメインの管理が煩雑である
前節で示した管理上の手間だけではなく,ユーザー数が多くなりすぎてNTドメインの限界を超えたなど,好むと好まざるとにかかわらず,NTドメインではドメインを分割しなければならないことが多い。ところが,NTドメインでは,複数のドメインを扱うのが面倒である。
別々のNTドメインはそれぞれ独立したデータベースであり,デフォルトでは相互に何の関連もない。このため,もしドメインAのユーザーがドメインBのリソースを使用したいとすると,本来はドメインBでもユーザーとして登録してもらい,ドメインBにログオンし直さなければならない。しかし,いちいちログオンし直さなければならないのは面倒であるため,複数のドメインをまたがって利用するために,NTドメインには「信頼関係」という仕組みが用意されている。先ほどの例でいえば,ドメインAがドメインBを信頼するように設定すれば,ドメインBのユーザーは改めてログオンし直さなくとも,ドメインAのリソースを使用できるようになる(ドメインAの認証がドメインBに推移する)。
NTドメインにおける信頼関係は,一方向の明示的なものである。たとえば,ドメインAがドメインBを,ドメインBがドメインCを信頼しているとしても,ドメインBがドメインAを信頼していることにはならないし(信頼関係は一方向),ドメインAがドメインCを信頼していることにもならない(信頼関係は継承されない)。つまり管理者は,手作業で明示的に信頼関係を1つずつ設定しなければならないのである。ドメインが2〜3個であればたいした手間ではないだろうが,数十個ものドメインが存在している場合には,そう簡単ではなくなる。管理者は,莫大な数の信頼関係を設定したうえで,その状態を把握しておかなければならない。
また,複数のドメインが存在する環境では,ユーザーの移動も問題となる。人事異動でユーザーの所属部署が変更されたのに伴い,ユーザーのアカウントをほかのドメインに移動させたい場合もあるだろう。しかし,NTドメインでは原則的にドメインをまたいでユーザーを異動させることはできない。このためNTドメインでは,登録されているユーザーをドメインから削除し,別のドメインで新たにユーザーを作成して,アクセス権などもすべて新しく設定し直さなければならないのである。
 |
Chapter 2 4/19 |  |
