- - PR -
信頼関係からサブドメイン化
1
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2007-05-21 15:00
私のチームでは現在、abcというドメイン(2003)を管理ており、
訳あって、他部署が管理しているxyzというドメイン(NT)と信頼関係を結んでいます。 abcドメイン上のアカウントを利用して、ユーザはxyzドメイン上のリソースを 使って居ます。 このたび、xyzドメインの一部のサーバが2003サーバへリプレースとなり、 現在信頼関係を結んでいるxyzドメインを残したまま(いずれ廃止される)、 abcドメインの管理下にリプレースするサーバを置いてほしいと言って来ました。 信頼関係からメンバサーバになる、というイメージです。 現在の2003CALをそのまま使いたいので別ドメインを立てたいとの理由でした。 管理者も違う、管理しているシステムも違うサーバを、abcドメインのメンバに していいものか、即答できませんでした。 現在、ネットや本を調べているのですが、回答までにあまり時間がないため、 こちらでお知恵を拝借できればと思い、投稿します。 @abcドメインのメンバサーバにする Axyzドメインとは別ドメインを立てて、abcドメインと信頼関係を結ぶ Babcドメインのサブドメインにする 上記のいずれかが取り得る策かと考えていますが、@Bを選択する場合、 下記のような懸念があります。 ・Administratorのパスワードを共有することにならないか ・リプレースサーバのエラーがabcドメインのサーバから出力されないか ・障害時の原因切り分け(どちらの部署の責任か)が曖昧にならないか ・同一ドメインにした場合、管理を分担できるか とくに、AdministratorのPW共有は絶対に避けたいです。 @〜Bの場合、PW共有とならないのはどれでしょうか。 このような場合、@〜B(もしくは他の案でも)最適な案はありますか? つたない文章ですが、よろしくお願い致します。 | ||||||||
|
投稿日時: 2007-05-22 00:04
こんばんわ.
何がしたいのか良くわかりません.
Windows NT の domain は Active Directory ではないのですよね? で,その一部が Windows Server 2003 になるとのことですが, それは primary domain controller が Windows Server 2003 になるのですか? Windows NT の CAL と Windows Server 2003 の CAL は別ですが, 何をもって「そのまま使いたい」と書かれていますか?
両方が Active Directory であれば統合も分割もやり方次第で可能ですが, 一方が Windows NT domain では実現できません. 2番目の手立ては「移行する」ことになりますが,何が変わるのか理解できません. | ||||||||
|
投稿日時: 2007-05-22 10:32
チャブーンです。
まず、max さんの質問は会社のセキュリティポリシー(文書によるセキュリティ上の決めごと)がからむので、少なくとも私には「正答」はだせません。また、「期限が迫っている」ということですが、「短期間」に max さんにとって「大事な決断」を無償リソースで得ようというのは、危険すぎるんじゃないかしら。 気にされていることはおそらく、以下のことでしょう。 ・更改サーバの管理運用に abc ドメイン管理者権限が必要かどうか 必ずしも必要ではありません。「更改サーバ」上の設定やリソース管理 (ローカルアカウントやローカルリソースの NTFS アクセス許可など) であれば、更改サーバのローカル管理者権限があれば、ドメイン管理者権限は不要です。 NTFS アクセス許可にはたとえば abc ドメインアカウント (信頼関係があれば xyz ドメインアカウントでも大丈夫でしょう) の認証が必要ですが、特定の制限ユーザをこれに割り当て、更改サーバのローカル Administrators グループのメンバにこのユーザを指定すれば、このユーザをローカル管理者として稼働させることができます。 ・更改サーバエラー時の対応 abc ドメインに参加していれば、abc ドメインのリソースとして問題があれば abc ドメインコントローラにエラーは記録されます。たとえばコンピュータアカウントパスワードのエラーで「セキュリティチャネルの構築が失敗した」などのケースです。 うえのケースならドメインへの再参加で解消できるのですが、abc ドメイン側でコンピュータアカウントの「リセット」作業が必要になることがあります。また何がどうなっているのか調査するのは abc ドメイン管理者の役割となるでしょう。 この意味では、「abc ドメインリソースを貸すだけ貸すが、管理者としての対応はスルーする」といったことはできないし、適切でもないでしょう。 後々のことを考えても、現行の xyz ドメインメンバとして Windows Server 2003 を置くのが、対応としては簡単かなとは思います。 ちなみに「現在の2003CALをそのまま使いたいので別ドメインを立てたいとの理由でした。」ですが、どういうことをイメージされているかわからないので、ちょっと答えようがないです。CAL 等のライセンスについては、MS に問い合わせた方が早いし、確実だと思います。 http://www.microsoft.com/japan/licensing/contact-us/default.mspx あとオマケのコメントですが、たとえば両者が Active Directory であっても、「合体させて 1 つのフォレストにする」ということはできません。もし推移的な信頼関係を作りたいなら、事前に abc ドメインのサブドメインで Active Directory を構成し、ADMT を使って Windows NT から移行、ということになるでしょう。 [ メッセージ編集済み 編集者: チャブーン 編集日時 2007-05-22 10:45 ] | ||||||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。