Windows 2000ネットワーク解剖
>
ドメインツリーとフォレスト
ドメインツリー
Active Directoryドメインは,DNSのドメイン名にマップされている。連続したDNSのドメイン名を備えたドメイン同士は,ドメインツリーを構成することができる。ドメインツリーに新しいサブドメインを追加すると,親ドメインとのあいだにはKerberosに基づいた推移的で双方向の信頼関係が結ばれる。このとき追加されたサブドメインは,子ドメインと呼ばれる。また,ドメインツリーの最上位にあるドメインは,ルートドメインと呼ばれる。
ドメインツリーを形成している場合,Active Directoryドメインの既定のユーザープリンシパル名サフィックスは,ルートドメインのDNSドメイン名と一致する。Fig.1を例にすると,subdomain.active.dsl.local.に属するユーザーのプリンシパル名サフィックスは,active.dsl.local.のユーザーと同じ,active.dsl.localである。しかし,だからといって,親ドメインが子ドメインに対して優位的な立場にあるわけではない。たとえば,ルートドメインの管理者がその子ドメインの管理者特権を自動的に持つことはない。また,セキュリティポリシーもドメインごとに設定されるので,ルートドメインや親ドメインの設定が子ドメインに自動的に適用されることもない。ドメインツリー自体は,あくまでも名前空間における上下関係と,子ドメインと親ドメインとのあいだで結ばれた信頼関係を表すものでしかないのである。
なお,(1) 子ドメインが存在するドメインをフォレストから削除(廃止)することはできない,(2) ルートドメインよりも上位のDNSドメイン名を有するドメインをドメインツリーに追加することはできない,という2点には注意してほしい。たとえば,フォレスト中にルートドメインがactive.dsl.local.ドメインであるドメインツリーが存在するとしよう。このとき,active.dsl.local.ドメインの子ドメインとしてsubdomain.active.dsl.local.ドメインが存在する場合,active.dsl.local.ドメインを削除することはできない。また,このドメインツリーのルートドメインはactive.dsl.local.ドメインであるため,より上位のDNSドメイン名を有するドメインをactive.dsl.local.ドメインと同じドメインツリーに参加させることはできない。たとえば,dsl.local.ドメインをactive.dsl.local.ドメインの親ドメインとして参加させることはできないということである(フォレスト内に異なるドメインツリーとして参加させることはできる)。
Fig.2 ドメインツリーの構成例(図版をクリックすると拡大可能)
 |
3/17 |  |
