Active Directory フォレストの信頼は推移的ですか?
-
04-07-2019 - |
質問
マルチフォレスト環境で Active Directory からの情報を使用する開発中のアプリケーションのトラブルシューティングに取り組んでいます。現在の問題は、フォレストの信頼が推移的であるかどうか、推移的である場合はどのような条件下であるかを把握することです。
セットアップ:Active Directory 2003を使用すると、 フォレストA ~と双方向のフォレスト信頼を持っています フォレストB. フォレストB ~と双方向のフォレスト信頼を持っています フォレストC.
この状況では、ForestA と ForestC の間に何らかの信頼関係はありますか?矛盾する情報をいくつか見つけました。この最初のリンクは、フォレストの信頼が他のフォレストに対して推移的ではないことを明確に示しています。
フォレストの信頼は 2 つのフォレスト間でのみ作成でき、暗黙的に 3 番目のフォレストに拡張することはできません。これは、フォレスト 1 とフォレスト 2 の間にフォレストの信頼が作成され、フォレスト 2 とフォレスト 3 の間にもフォレストの信頼が作成された場合、フォレスト 1 はフォレスト 3 に対して暗黙的な信頼を持たないことを意味します。
ただし、信頼タイプのリストには、フォレストの信頼が推移的であることを示すものも見つかります。
信頼の種類:森 推移性:推移的
このフォレストの信頼に加えて、「ドメインと信頼の管理」を通じて表示すると、Active Directory の信頼のリストにフォレストの信頼が「推移的」として表示されます。
これは、フォレストの信頼が推移的であることを意味しますか 内で 信頼するフォレストにはアクセスできますが、他のフォレストにはアクセスできませんか?したがって、前述のシナリオでは次のようになります。
フォレストA <-> フォレストB <-> フォレストC
サブドメインは推移性を通じてフォレストの信頼を取得します (つまり subdom1.フォレストA office7を信頼します。フォレストB) ただし、次の間ではアクセスが共有されます。 フォレストA そして フォレストB. 。これは正しいのでしょうか? それとも、マイクロソフトが公開しているかなり紛らわしい情報によって私が混乱してしまったのでしょうか?これに関する個人的な経験を共有できる人はいますか?
解決
具体的には、<!> quot; transitive <!> quot;マイクロソフトの推移的なフォレストの信頼は、フォレスト間からフォレスト間ではなく、各フォレスト内のドメイン用です。
E.g。
フォレスト1とルートドメインA、および2つの子ドメインBとC ルートドメインXと2つの子ドメインYおよびZを持つフォレスト2
推移的なフォレストでは、ドメインZは、ドメインCを自動的に信頼します。直接信頼リンク(ショートカット信頼)を作成する必要はありません。
他のヒント
3つのドメインでテストすると、フォレストの信頼からの情報が表示されます正しい;構成ForestA <!> lt;-<!> gt;で3つのフォレストをセットアップしたときForestB <!> lt;-<!> gt; ForestC ForestAは、ForestCからの資格情報を表示できませんでした。
クロスフォレストトラストは推移的ではありません。親/子ドーマン/ツリーの信頼は...
http://technet.microsoft.com/ en-us / library / cc773178(WS.10).aspx
NT 4 ドメインの信頼は、このように推移的ではありませんでした。ADについてはよくわかりません。