フォレストとドメイン

フォレストとは

Windows 2000以降、Windowsの認証基盤にActive Directoryが導入されました。 ADではそれまでのNTドメインを拡張して、フォレストという概念を組み込みました。
フォレスト（森）はドメインツリー（木）の集合体で、同一フォレストに属するすべてのドメインツリー間に信頼関係を結ぶことを実現しています。
つまり、同じフォレストに属していればドメインが別のドメインであっても、他のドメインによる認証を受けることができる事になります。

このことは、ある企業においてフォールディングを管理する「HD」というフォレストを作り、その配下の企業ごとのドメインを作成して、ドメインの管理を各ドメイン内の管理者に権利移譲できるという事を意味します。

上図では４つのドメインがHD.co.jpというフォレストに存在している例です。　これら４つのドメイン間は相互に信頼関係があるため、それぞれのドメイン配下にあるリソースに対してアクセス権があれば利用できるようになります。　また、各ドメインの管理者はドメイン毎に置くことができるので、管理作業をそれぞれのドメイン管理者に移譲することが可能になります。

フォレスト間の信頼関係

フォレスト内のドメインでは信頼関係が自動的に結ばれますが、明示的に設定することで異なるフォレスト間で信頼関係を結ぶことも可能です。
ただし、相互で信頼を結びたい場合は、それぞれのフォレスト管理者がお互いに信頼関係を結ぶための設定を行わないと、片方向だけの信頼関係となってしまいます。

フォレスト間の信頼関係は、企業合併などでADをお互い構築済であった場合などで、それまでの環境を維持しながら相互のリソースを利用する場合に利用すると良いでしょう。

ドメインとは

ドメインは、組織単位を階層構造で管理するための全体的な器です。　もう少し簡単にいうなら、会社の組織表を管理するものと考えると良いでしょう。
ドメインには組織内の組織名やグループ名、個人などの情報と、その組織に属するコンピュータの情報などが管理されます。ユーザやコンピュータの管理情報には、例えばユーザであればメールアドレスや住所や電話番号といった個人に属する情報が、コンピュータであればコンピュータ名やOSの種類やIPアドレスなどがそれぞれ「オブジェクト」と呼ばれ管理されています。