信頼関係とは?
人間社会の世界でも信頼はとても大切なものですよね。相手を信頼することで相手からの立ち入りをある程度許可し、また相手から信頼されることで逆もまたしかりです。友達どうしの信頼があれば物の貸し借りをすることもありますが、この時にいちいち身分証や借用書の提示をすることがないのは信頼関係の間柄にあるためです。
ActiveDirectoryの世界でもこの概念があり、別々のActiveDirectoryのドメイン間で、片方がもう片方を信頼(Trust)する設定というものがあります。
信頼を「する」ことで、相手側にこちらのリソースの使用を許します。
信頼を「される」ことで、相手側のリソースに干渉できるようになります。
ここは混乱しやすいので違いをしっかり認識しておこう!
<例>
A社がB社のドメインを信頼
→この例だとA社のドメインがB社に対してあなたを信頼しているよ、という事になります。結果、B社のドメインユーザーは信頼してくれているA社のリソースに対し干渉できる様になります。
例えばA社側のドメイン内にファイルサーバがあれば、そのファイルサーバに対してB社ドメインのユーザーに権限を割り当てる事ができ、権限を割り当てればB社のドメインユーザーはA社のファイルサーバの内容を参照できるようになります。
信頼関係がなぜ必要か?
ユーザーやコンピュータが同じドメイン内にひとまとまりになっているならば信頼関係は必要ありません。でも一般企業であれば都合よくそんな状況になっていない事もあります。
例えば、お互いにActiveDirectoryの環境を持った会社が合併した場合はどうするでしょうか?
それぞれのActiveDirectory配下のユーザーや、はたまた認証の許可設定をしているファイルサーバなどのリソースをどう管理していくのか?という課題にぶち当たります。
解決方法としてどちらかのドメインにリソースを移行する方法がありますが、移行自体の手間や無くなる方のドメインのユーザーへの告知、システム上のパーミッションの変更などいろいろ課題がありそうです。
そんな手間をバイパスし、それぞれのAD環境を併存していく選択が信頼関係の設定となります。
下記はお互いのドメインから信頼関係を設定した場合の図です。
信頼関係の設定については下記の記事に記載していますので引き続きご参照ください!
コメント