信頼
信頼とは、ドメイン間に確立する関係のことで、これによりあるドメインのユーザーを他のドメインのドメイン コントローラーに認証させることができます。
Windows NT での信頼
Windows NT 4.0 オペレーティング システムでは、信頼は 2 つのドメインに制限されています。信頼関係は、非推移的で一方向です。次の図では、非推移的な一方向の信頼が、信頼される側のドメインの方を指す直線の矢印で示されています。
Windows 2000 Server、Windows Server 2003、Windows Server 2008、および Windows Server 2008 R2 オペレーティング システムでの信頼
Windows 2000 Server、Windows Server 2003、Windows Server 2008 フォレスト、および Windows Server 2008 R2 フォレストでの信頼はすべて推移的で双方向の信頼です。したがって、信頼関係にある両方のドメインが信頼されます。次の図に示すように、ドメイン A がドメイン B を信頼し、ドメイン B がドメイン C を信頼する場合、ドメイン C のユーザーはドメイン A のリソースにアクセスできることになります (適切なアクセス許可が割り当てられている場合)。信頼関係を管理できるのは Domain Admins グループのメンバーのみです。
信頼プロトコル
Windows Server 2008 または Windows Server 2008 R2 を実行しているドメイン コントローラーは、Kerberos Version 5 (V5) プロトコルまたは NTLM のいずれかを使用しているユーザーやアプリケーションを認証します。Kerberos V5 プロトコルは、Windows 2000、Windows XP Professional、Windows Server 2003、Windows Server 2008、または Windows Server 2008 R2 を実行しているコンピューターの既定のプロトコルです。トランザクションに関与するコンピューターが Kerberos V5 プロトコルをサポートしていない場合は、NTLM プロトコルが使用されます。
Kerberos V5 プロトコルを使用すると、クライアントは、そのアカウント ドメインのドメイン コントローラーから信頼する側のドメインのサーバーへのチケットを要求します。このチケットは、クライアントとサーバーから信頼された、仲介役として機能するコンピューターにより発行されます。クライアントはこの信頼されたチケットを、認証のために信頼する側のドメインのサーバーに提示します。詳細については、Kerberos V5 認証に関するページ (英語の可能性あり) (
NTLM 認証を使用して、クライアントが他のドメインにあるサーバーのリソースにアクセスする場合は、リソースが存在するサーバーはそのクライアント アカウント ドメインのドメイン コントローラーにアクセスしてアカウントの資格情報を確認する必要があります。
信頼されたドメイン オブジェクト
信頼されたドメイン オブジェクト (TDO) は、特定のドメイン内での各信頼関係を示すオブジェクトです。信頼が確立されるごとに、固有の TDO が作成され、システム コンテナー内の対応するドメインに保存されます。信頼の推移性、種類、および両方のドメイン名などの属性が、TDO に示されます。
フォレスト信頼 TDO には、パートナー フォレストの信頼された名前空間すべてを識別するための追加属性が格納されます。これらの属性には、ドメイン ツリー名、ユーザー プリンシパル名 (UPN) サフィックス、サービス プリンシパル名 (SPN) サフィックス、およびセキュリティ識別子 (SID) 名前空間が含まれます。
ドメイン信頼の詳細については、信頼テクノロジに関するページ (英語の可能性あり) (