Windows Server 2008になり以前のOSからADの論理構造設計に関してはあまり大きな変化はありませんが、唯一変わったことがあります。それについて考えてみます。
そもそも根本的な考え方である設計の指針があります。それは
シングルフォレスト・シングルツリー・シングルドメイン
にならないかを、まず第一に考えるということです。
シングルフォレストだと次のような要件が出てきます。
- 別ドメインのリソースを利用者が検索・利用可能
- ADの制御情報(スキーマ、構成)の共有
- フォレスト全体を管理可能な管理者が存在する(Enterprise Admins)
これらの要件がセキュリティ的にそぐわない場合はマルチフォレストになります。
それでは、マルチドメインの選択基準としては次のようになります。
- 大規模環境で、ADデータベースサイズや複製トラフィックを最適化したい
- 分散管理
- 法的規制
- 組織ごとのパスワードポリシー
ここでWindows Server 2008のドメイン機能レベルをWindows Server 2008にすることにより新機能であるPSO「Windows Server 2008 のきめ細かなパスワードポリシー」が使用できますので「組織ごとのパスワードポリシー」を考慮しなくてもよくなりました。
今までは、パスワード設定とアカウントロックアウト設定はドメインに限られていて、ドメインごとに1 つの設定しか適用できませんでした。異なるパスワードポリシーを必要とする場合は、ドメインを複数展開する必要があったんですが、Windows Sever 2008ではユーザーやグループごとに複数のパスワード設定とアカウントロックアウト設定を構成できるようになったんです。
次回はWindows Server 2008の新機能であるPSOについて考えてみたいと思います。
