【連載】

にわか管理者のためのActive Directory入門

【第84回】信頼関係の設定(Windows Server 2003以降)

[2010/03/29 09:00]井上孝司 ブックマーク ブックマーク

  • サーバ/ストレージ

サーバ/ストレージ

今週と次週の2回に分けて、信頼関係の設定について解説する。今週は、Windows Server 2003から仕様変更によって取り入れられた、ウィザードを使った信頼関係の設定について解説する。そして来週、Windows 2000 Serverにおける設定と、同じダイアログで行う信頼関係の設定解除について解説する。

Windows Server 2003以後の変更点

信頼関係の設定に関してWindows Server 2003から加わった変更点は、2種類ある。

  • ウィザード型式で信頼関係の設定を行えるようになった
  • そのウィザードでは、相手側ドメインに対する一括設定を行えるようになった

Windows Server 2000までは、信頼元と信頼先のドメインコントローラで別々に作業を行う必要があった。しかし、Windows Server 2003からは相手ドメインの管理者アカウントとパスワードを指定することで、信頼関係の設定をまとめて行えるようになり、その分だけ手間がかからなくなっている。おそらくは設定ミスの可能性も減らせるだろう。

その、信頼関係の一括指定を行う際には、片方向(入力方向・出力方向の両方)、あるいは双方向のいずれかを選択できる。つまり、必要とあらば一気に双方向の信頼関係を設定できる仕組みだ。

なお、信頼関係の設定が必要になるのは双方のドメインが異なるフォレストに属している場合に限られるため、以下の解説でもそれを前提とする。基本的には双方向の信頼関係を設定する手順について解説するが、必要に応じて片方向の信頼関係を設定する際の違いについても解説する。

信頼関係の設定手順

では、信頼関係を設定する際の手順について解説する。

 1. 信頼関係を設定するドメインのドメインコントローラに、管理者権限を持つユーザーアカウントを使ってログオンする。そして、[Active Directoryドメインと信頼関係]管理ツールを起動する。

 2. 左側のツリー画面にあるドメイン名で右クリックして[プロパティ]を選択する。

 3. 続いて表示するダイアログで[信頼]タブに移動して、ダイアログ最下部にある[新しい信頼]をクリックする。すると、[新しい信頼ウィザード]が起動する。

 4. [次へ]をクリックしてウィザード2画面目に移動した後、[信頼の名前]として、信頼先ドメインをドメインDNS名で指定する。

 5. 次の画面で、[外部の信頼]と[フォレストの信頼]の選択を求められた場合、通常は[外部の信頼]を選択する。ただし、本連載で後に取り上げる予定のフォレスト間信頼を設定する場合には、[フォレストの信頼]を選択する。

 6. 次の画面で、信頼の方向を[双方向][一方向、入力方向][一方向、出力方向]から選択する。片方向の信頼関係を設定する場合には、後二者のうちいずれかを選択することになるが、作業中のドメインを信頼元にするのであれば[一方向、出力方向]、信頼先にするのであれば[一方向、入力方向]を選択することになる。

信頼の方向を選択できるのは、このウィザードの利点。一気に双方向の信頼関係を設定できる

 7. 次の画面で、信頼関係の設定対象を指定する。通常は、一度に両方のドメインに設定する方が、手間がかからなくて良いだろう。[このドメインのみ]を選択すると自ドメインのみを設定対象にするので、作業完了後に相手側ドメインでも信頼関係を設定する必要がある。また、まれに両方のドメインに設定しようとするとエラーになる場合があり、そのときには相手側ドメインでも信頼関係を設定する作業が必要になる。

ウィザード中で信頼関係の方向を選択できる点と、相手側ドメインに対して一括設定が可能になったのは、Windows Server 2003以降の改良点

 8. 相手側ドメインに一括して信頼関係を設定する場合、次の画面で、相手側のドメインに管理者権限を持つユーザーと、そのパスワードを指定する。

 9. 一方向(入力方向)の信頼関係を選択した場合、自ドメインからのユーザー認証の範囲を選択する画面を表示する。信頼先ドメインのユーザー/グループにアクセス許可を設定する際に、無条件のアクセスを認める場合は[ドメイン全体の認証]または[フォレスト全体の認証]、管理者権限を持つユーザー名とパスワードを指定しなければユーザー情報にアクセスできないようにする場合は[認証の選択]を選択する。

[ドメイン全体の認証]または[フォレスト全体の認証]を選択すると、相手ドメインのユーザー情報に対して無条件にアクセスできる。[認証の選択]を選択すると、アクセス時に管理者の資格情報を求められる

 10. 最後に表示する確認画面で設定内容を確認してから[次へ]をクリックすると、信頼関係を設定する。

 11. 設定完了後に、信頼の確認を行うかどうかを訊かれる。ここで確認しなくても先に進むことはできる。設定した信頼関係の方向によって、どちらの方向について確認を行うかが変わる点に注意されたい。

 12. これで、信頼関係の設定作業は完了となる。信頼関係を正しく設定すると、先ほどの[信頼]タブに、作成した信頼関係の情報を表示する。

双方向の信頼関係を設定した後の画面表示例

915
2
【連載】にわか管理者のためのActive Directory入門 [84] 信頼関係の設定(Windows Server 2003以降)
今週と次週の2回に分けて、信頼関係の設定について解説する。今週は、Windows Server 2003から仕様変更によって取り入れられた、ウィザードを使った信頼関係の設定について解説する。そして来週、Windows 2000 Serverにおける設定と、同じダイアログで行う信頼関係の設定解除について解説する。
https://news.mynavi.jp/itsearch/2015/10/15/ad084/index.top.jpg
今週と次週の2回に分けて、信頼関係の設定について解説する。今週は、Windows Server 2003から仕様変更によって取り入れられた、ウィザードを使った信頼関係の設定について解説する。そして来週、Windows 2000 Serverにおける設定と、同じダイアログで行う信頼関係の設定解除について解説する。

会員新規登録

初めてご利用の方はこちら

会員登録(無料)

マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
人事・経理・総務で役立つ! バックオフィス系ソリューション&解説/事例記事まとめ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

ページの先頭に戻る