Active Directoryドメイン
[Active Directoryドメイン]ページでは、Authentication Serverデータベースに保存されているActive Directoryドメインと関連する認証情報を表示、追加、編集、削除できます。このエリアは管理者のみが使用できます。
[Active Directoryドメイン]ページを開くには、[プロファイル]アイコンをクリックして[設定]ページを開き、[認証設定]をクリックしてから[ドメインを表示]をクリックします。
一方向の信頼関係を持つマルチフォレスト環境には、新しいActive Directoryドメインのみを追加します。詳細については、「ドメイン間の信頼関係」を参照してください。
[Active Directoryドメイン]ページには、次の情報と機能が表示されます。
- 追加 – 新しいActive Directoryドメインを追加します。
- 編集 – 既存のActive Directoryドメインの詳細を編集します。一度に編集できるドメインは1つのみです。
- 削除 – 1つ以上のActive Directoryドメインを削除します。
ドメインを追加する
-
[Active Directoryドメイン]ページで[追加]をクリックします。
[ドメインを追加]ページが表示されます。
-
ドメイン名を入力します。
これは、subdomain.domain.comまたはdomain.comの形式を使用するFQDNである必要があります。
-
ドメインのユーザー名とパスワードを入力します。ユーザー名は、[email protected]またはDOMAIN\usernameの形式である必要があります。認証情報は事前にシステム管理者が要求する必要があります。
Active Directoryドメインの認証情報はデータベースに保存され、保存前に暗号化されます。各ドメインに保存される認証情報は、Active Directoryサービスアカウントの認証情報である必要があります。サービスアカウントのパスワードは有効期限内でなければなりません。サービスアカウントはユーザーアカウントとは異なる必要があり、Active Directoryサービスアカウントのベストプラクティスに準拠することが求められます。
-
[追加]をクリックします。
ドメイン名と認証情報はActive Directoryドメインコントローラーに対して検証され、追加されたドメインがドメインリストに表示されます。
ドメインを編集する
-
[Active Directoryドメイン]ページで、ドメインを選択し、[編集]をクリックします。
一度に選択できるドメインは1つのみです。
-
必要に応じて情報を変更します。ドメイン名を編集する場合は、このドメインを削除して新しいドメインを作成する必要があります。
-
[保存]をクリックして変更を保存します。
ドメインを削除する
-
Active Directoryドメインで、必要なドメインを選択し、[削除]をクリックします。
削除を確認するメッセージが表示されます。
- [はい]をクリックして選択したドメインを削除するか[いいえ]をクリックしてキャンセルします。
ドメイン間の信頼関係
マルチフォレスト環境では、ドメイン間で信頼関係を構成する必要があります。これらは信頼するドメインに対して双方向または一方向で構成します。
例:
- ドメインAとドメインB間の一方向の信頼関係では、ドメインAのユーザーはドメインBのリソースにアクセスできます。しかし、ドメインBのユーザーはドメインAのリソースにアクセスできません。
-
双方向の信頼関係では、ドメインAはドメインBを信頼し、ドメインBはドメインAを信頼します。つまり、認証要求は2つのドメイン間で双方向に渡すことができます。
Authentication Serverアプリケーションプールユーザーが、ユーザーの所属するドメインに対する関連ある読み取りアクセス権を持っている場合、双方向の信頼関係においてドメイン認証情報を提供する必要はありません。これらの例では、Authentication ServerをホストするWebサーバーは、ドメインBに存在します。双方向の信頼関係では、ユーザーがAuthentication Serverアプリケーションプールユーザーとは異なるアカウントを使用して信頼できるドメインを照会する必要がある場合に、認証情報を提供する必要があります。一方向の信頼関係には、認証情報を作成するドメインが必要です。
次の信頼関係がサポートされています。
-
外部
-
親子
-
ツリールート
-
フォレスト