信頼の推移性
推移性とは、信頼関係が形成されている 2 つのドメイン以外に信頼を拡張できるかどうかを指定するものです。推移的な信頼を使用すると、他のドメインにも信頼関係を拡張することができます。一方、非推移的な信頼を使用すると、他のドメインとの信頼関係は拒否できます。
推移的な信頼
フォレスト内に新しいドメインを作成するたびに、新しいドメインと親ドメインとの間に双方向の推移的な信頼関係が自動的に作成されます。この新しいドメインに子ドメインを追加すると、ドメインの階層を上方向にたどる信頼のパスが形成され、新しいドメインと親ドメインとの間に作成されている最初の信頼パスが拡張されます。
ドメイン ツリーに新たな構成要素が追加されると、推移的な信頼関係はツリーを上へたどるため、ドメイン ツリー内のすべてのドメイン間に推移的な信頼が作成されます。
認証要求は、これらの信頼のパスを経由します。そのため、フォレスト内の任意のドメインのアカウントは、そのフォレスト内に存在する任意の他のドメインで認証を受けることができます。適切なアクセス許可を持つアカウントは、1 回のログオン プロセスで、フォレスト内のすべてのドメインのリソースにアクセスできます。
Windows Server 2008 フォレストまたは Windows Server 2008 R2 フォレストで確立される既定の推移的な信頼に加えて、新しい信頼ウィザードを使用すれば、次の推移的な信頼を手動で作成することができます。
-
ショートカットの信頼 : 同じドメイン ツリー内またはフォレスト内のドメイン間に構築される推移的な信頼。大規模で複雑なドメイン ツリーやフォレストで、信頼のパスを短縮するために使用されます。
-
フォレストの信頼 : あるフォレスト ルート ドメインと別のフォレスト ルート ドメインとの間に構築される推移的な信頼。
-
領域の信頼 : Active Directory ドメインと Kerberos V5 領域との間に構築される推移的な信頼。Kerberos V5 領域の詳細については、Kerberos V5 認証に関するページ (英語の可能性あり) (
https://go.microsoft.com/fwlink/?LinkId=92699 ) を参照してください。
次の図は、ドメイン A ツリーとドメイン 1 ツリー間の双方向で推移的な信頼関係を示しています。ドメイン A ツリーとドメイン 1 ツリーのすべてのドメインは、既定で推移的な信頼関係を持っています。したがって、適切なアクセス許可がリソースに割り当てられていれば、ドメイン A ツリーのユーザーはドメイン 1 ツリーのドメインのリソースにアクセスでき、ドメイン 1 ツリーのユーザーもドメイン A ツリーのリソースにアクセスできます。
信頼の種類の詳細については、「信頼の種類とは」を参照してください。
非推移的な信頼
非推移的な信頼は、信頼関係が構築されている 2 つのドメイン間のみに限定されます。フォレスト内の他のドメインに適用されることはありません。非推移的な信頼は、双方向または一方向にすることができます。非推移的な信頼は、既定では一方向です。ただし、一方向の信頼を 2 つ作成することにより、双方向の信頼関係を作成することができます。
要約すると、非推移的なドメインの信頼は、次のドメイン間で構築可能な唯一の信頼関係です。
-
Windows Server 2008 ドメインまたは Windows Server 2008 R2 ドメインと Windows NT ドメイン
-
あるフォレスト内の Windows Server 2008 ドメインまたは Windows Server 2008 R2 ドメインと他のフォレスト内のドメイン (それらのフォレストが、フォレストの信頼で結ばれていない場合)
新しい信頼ウィザードを使用すると、次の非推移的な信頼を手動で作成することができます。
-
外部の信頼 : Windows Server 2008 ドメインまたは Windows Server 2008 R2 ドメインと Windows NT ドメイン、または他のフォレスト内の Windows 2000 ドメイン、Windows Server 2003 ドメイン、Windows Server 2008 ドメイン、または Windows Server 2008 R2 ドメインとの間に構築される非推移的な信頼。
-
領域の信頼 : Active Directory ドメインと Kerberos Version 5 (V5) 領域との間に構築される非推移的な信頼。Kerberos V5 領域の詳細については、Kerberos V5 認証に関するページ (英語の可能性あり) (
https://go.microsoft.com/fwlink/?LinkId=92699 ) を参照してください。
信頼の種類の詳細については、「信頼の種類とは」を参照してください。