Directory design 2... 複製トラフィックから見たドメイン設計
ドメインは管理とセキュリティの境界
ユーザー,グループ,コンピュータ,プリンタ,共有資源といった各オブジェクトとその属性は,ドメインごとに登録・管理される。これらを拠点ごとに分散管理したい場合や,拠点ごとに異なるセキュリティポリシーを設定したいような場合には,ドメインを分割する必要がある(パスワードのポリシー,アカウントのロックアウトポリシー,Kerberos Ver.5のポリシーは,ドメイン単位でのみ設定することができる)。基本的に,ほかのドメインを管理するには明示的に権限を割り当てなければならないので,あるドメインの管理者は自分のドメインしか管理できない。このように,オブジェクトの管理やセキュリティポリシーの設定はドメインを単位とするため,ディレクトリの設計にあたっては,ユーザーやリソースの管理範囲およびセキュリティの設定範囲を鑑みて,ドメインの境界を定める必要がある。
参考までに,ユーザーの立場からも見ておこう。1つのフォレストのなかに複数のドメインがある場合,各ドメイン間には自動的に双方向の信頼関係が締結されている。そのため,あるドメインにログオンしているユーザーは,適切なアクセス権限さえ所持していれば,ほかのどのドメインに登録されているオブジェクトにもアクセスすることができる。
 |
Directory design 11/18 |  |
