- 追加された行はこのように表示されます。
- 削除された行は
このように表示されます。
[Admintech.jp|http://itpro.admintech.jp] > [[ADMIN TIPS|Administration TIPS]] > [[Windows Knowledge]] > [[ADMT v3.1]]
[Determining Your Account Migration Process|http://technet.microsoft.com/en-us/library/cc974455.aspx] 2008/8/29 版をもとに翻訳しています
!!!アカウント移行プロセスを決定する
!!
Active Directory Migration Tool (ADMT) と共にセキュリティ識別子 (SID) 履歴を使用すると、アカウントの移行時にリソースへのアクセス権を維持できます。しかし、もし SID フィルタリングがソースおよびターゲットドメインの両方で有効になっており、ソース ドメインの管理者を信頼しない場合、SID フィルタリングは無効にできません。また、SID 履歴を使用したソース ドメインのリソースへのアクセスを有効にできません。この場合、異なる移行プロセスを使用しなくてはなりません。
フォレスト間で移行中のユーザーがソース ドメインのリソースへのアクセスを可能にするためには、次の 3 つのアカウント移行方法のうち 1 つを選択できます。
*ユーザー アカウントの移行時に、リソースへのアクセスのために SID 履歴を利用します。この方法とともに、ドメイン間信頼関係上に設定された SID フィルタリングを解除し、ソース ドメインにあるリソースへのユーザー アクセスを有効にします。
**フォレスト間信頼が設定されている場合、フォレスト間信頼上に存在する SID フィルタリングを取り除きます。(それには外部の信頼を作成し、リソースを保持するターゲット ドメインを信頼し、外部の信頼上の SID フィルタリングを取り除いた状態で、フォレスト間信頼を上書きします。)
**フォレスト間信頼が設定されている場合、フォレスト間信頼上に存在する SID フィルタリングを取り除きます。(または外部の信頼を作成し、リソースを保持するターゲット ドメインを信頼し、外部の信頼上の SID フィルタリングを取り除いた状態で、フォレスト間信頼を上書きします。)
**フォレスト間信頼が設定されていない場合、ソースとターゲット ドメインの間で外部の信頼を作成します。信頼関係の作成に使用したドメイン コントローラが Windows Server 2008、Windows Server 2003、Windows 2000 Service Pack 4 (SP4) 以降を実行している場合、SID フィルタリングを外部の信頼から取り除きます。
このプロセスに関する追加の情報が必要であれば、このガイドの後で [Migrating Accounts While Using SID History|http://technet.microsoft.com/en-us/library/95cc8ff1-68d7-407d-abae-5db5f2f74b85] をご確認ください。
*すべてのユーザー、グループ、リソースを 1 回の手順でターゲット ドメインに移行します。このプロセスに関する追加の情報が必要であれば、このガイドの後で [Migrating Accounts While Using SID History|http://technet.microsoft.com/en-us/library/95cc8ff1-68d7-407d-abae-5db5f2f74b85] をご確認ください。
*リソース アクセスに SID 履歴を使用せずにアカウントを移行しますが、リソース アクセスを確実にするために移行プロセスの前にすべてのリソースのセキュリティを変換します。SID 履歴を利用しないアカウント移行に関する追加の情報が必要であれば、このガイドの後で [Migrating Accounts Without Using SID History|http://technet.microsoft.com/en-us/library/c3f38ae0-fd83-4718-a56a-c8b39fb45f69] をご確認ください。
!!
対象となる組織でどのアカウント移行プロセスが最良か決定するには、SID フィルタリングを無効にできるか、移行中のアカウントがリソース アクセスに SID 履歴を利用できるかを、最初に決定しなくてはなりません。これを安全に実施するにはソース ドメインの管理者がターゲット ドメインの管理者を完全に信頼しなくてはなりません。次の条件のうちいずれか 1 つを適用できるなら、SID フィルタリングを無効にしてもかまいません。
**信頼するドメインの管理者は信頼されるドメインの管理者と同じである。
**信頼するドメインの管理者が信頼されるドメインの管理者を信頼し、彼らが適切に安全なドメインを保持していると確信できる。
SID フィルタリングを無効にする場合、フォレスト間のセキュリティ境界 (security boundary) を取り除きます。あるいは別の方法として、2 つのフォレスト間でデータとサービスを分離します。たとえば、ターゲット ドメインのサービスの管理者権限を持つ管理者かドメイン コントローラへの物理アクセスが可能なユーザーは、ソース ドメインのドメイン管理者権限を持つように、アカウントの SID 履歴を変更できます。SID 履歴の変更されたそのユーザー アカウントがターゲット ドメインにログオンする時、有効なドメイン管理者の資格が提示され、ソース ドメインのリソースへのアクセスが可能になります。
このような理由により、もしターゲット ドメインの管理者を信頼しないか、ターゲット ドメインのドメイン コントローラが物理的に安全であることを信用しない場合、ソースとターゲット ドメインの間で SID フィルタリングを有効にし、ユーザー アカウントの移行に SID 履歴をリソース アクセスに使用しないようにします。
次のイラストはこの組織でどの移行プロセスを使用するかを決定するための意思決定プロセスを示します。
""イラストは省略
!!!書いた人
2008 年 11 月 11 日 やまにょん作成