乾燥肌、冬の肌トラブルに本気の対策 >>

Active Directoryの知識が全くないのですがありませんので、
初歩的な質問で申し訳ありません。

サブドメインと信頼関係というものがよくわかりません。
サブドメインとはどのようなものでしょうか?
子ドメインとは違うのでしょうか?

また信頼関係を結ぶと、ドメインのユーザーやグループへの
アクセス権の設定が可能になるようですが、
サブドメインと言うのは自動的に信頼関係が結ばれるのでしょうか?

すみませんがご教授お願いします。

このQ&Aに関連する最新のQ&A

A 回答 (2件)

未だに信頼関係が結ばれませんのでしょうか?

    • good
    • 0

>サブドメインと信頼関係というものがよくわかりません。


>サブドメインとはどのようなものでしょうか?
>子ドメインとは違うのでしょうか?

用語のことだからはっきりとは分かりませんが、
たぶんサブドメインと子ドメインは同じだと思います。
ドメインとサブドメインは、ActiveDirectoryにおいては双方向の信頼関係が設定されます。
つまりドメイン側で作成した各種アカウントやグループをサブドメイン側で利用できるし、
サブドメイン側で作成した各種アカウントやグループをドメイン側で利用することもできます。
    • good
    • 0

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人はこんなQ&Aも見ています

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QActiveDirectoryで一般ユーザーにadministrator権限を与えるには

ActiveDirectoryで一般ユーザーにadministrator権限を与えるには、
いくつか方法があると思いますが、どれが一番良いのでしょうか?

・グループポリシーの制限されたグループに、administratorsを追加してその中に一般ユーザーを含める。
・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにAdministratorsを追加する。
・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにDomain Adminsを追加する。

以上、宜しくお願いします。

Aベストアンサー

No2.です。
Domain Adminsはそのアクティブディレクトリに関する制御もできるようになってしまいます。つまりネットワーク構成からドメイン下のユーザ管理、下手したらサーバー構成まで変更できてしまいます。通常サーバー管理者のみ使うものだと私は考えます。

ユーザにどうしても与えるならば、ローカルadminまでとして、更に余計なトラブルを防ぐため、通常使うユーザー名と、管理者権限が必要なときに使うユーザー名を用意し、必要に応じてログオンするユーザー名を切り替える、こんな運用してもらうのがいいのではないかと思います。
ちょっと利用者側は手間かもしれませんが、常時管理者権限が必要ということはないと思いますし、意識もできますから。

QDomainAdminsとAdministratorsの違い

domain環境におけるDomainAdminsとAdministratorsの違いは
何でしょうか?下記Microsoftのサイトで確認しましたが、同じに思えます。
http://technet2.microsoft.com/WindowsServer/ja/library/1631acad-ef34-4f77-9c2e-94a62f8846cf1041.mspx?mfr=true
相違点を教えて下さい。

Aベストアンサー

例として,次のようなWindowsPC群があるとします。
  2台のドメインコントローラ…DC1とDC2
  ワークグループ状態の4台のPC…WS1,WS2,WS3,WS4
個々のPCには,各々のPC1台だけを管理するグループとしてAdministratorsが存在します(注:DC1,DC2は複製なので合わせて1台扱いです)。
WS1~WS4をドメインに参加させると,ActiveDirectory上のDomain Adminsグループが,WS1~WS4の各Administratorsグループのメンバとして追加されます。

上記については質問者が示したWebページで説明されています。同ページの本文3行目にあるHyperLink先「既定のローカル グループ」の記述と併せて,該当箇所を抜き書きしてみました。

●(ドメインコントローラ上の)Administrators
このグループのメンバは、【ドメイン内のすべてのドメイン コントローラ】に対するフル コントロールを持ちます。

●(ドメインコントローラ上の)Domain Admins
このグループのメンバは、【ドメイン】に対するフル コントロールを持ちます。既定では、ドメイン コントローラ、ドメインのワークステーション、およびドメインのメンバ サーバーがドメインに参加したとき、このグループは、これらのすべてで Administrators グループのメンバになります。

●(ローカルコンピュータ上の)Administrators
このグループのメンバは、サーバーのフル コントロールの権限があり……このサーバーをドメインに参加させると、Domain Admins グループがこのグループに自動的に追加されます。

例として,次のようなWindowsPC群があるとします。
  2台のドメインコントローラ…DC1とDC2
  ワークグループ状態の4台のPC…WS1,WS2,WS3,WS4
個々のPCには,各々のPC1台だけを管理するグループとしてAdministratorsが存在します(注:DC1,DC2は複製なので合わせて1台扱いです)。
WS1~WS4をドメインに参加させると,ActiveDirectory上のDomain Adminsグループが,WS1~WS4の各Administratorsグループのメンバとして追加されます。

上記については質問者が示したWebページで説明されています。同ペ...続きを読む

Q【MTA】postfixとsendmail【違い】

はじめまして。シアトルでシスアド見習いをしている者です。

今日みなさんにお聞きしたいのは、postfixとsendmailMTAの違いについてです。

いろいろな記事で比較されておりましたが、Google先生に聞いたところ
・sendmailは設定が複雑だけど未知のプロトコルにも対応している
・postfixは設定は簡単、MailDir構造を使用していて、SMTPプロトコルに特化
のような内容が沢山出てきました。

また、itmedia様の過去ログにて
・sendmailは送受信共にsendmailにて可能
・postfixは受信は受けるが、送信は外部MDA(?)
のような違いがあるとも書いてありました。

しかしながら、動作的にこれら二つのMTAが具体的にどう変わるのかについての説明がなされている記事が見当たらず、ここで質問させていただいた次第でございます。

内容としましては現在、システムが使用するMTAとして、現在postfixとsendmailがサーバーに入っております。
システムが使うMTAの設定は

/etc/alternatives/mta -> /etc/alternatives/sendmail.sendmail

となっています。
またMTAの候補は以下の二つです。

/etc/alternatives/sendmail.sendmail
/etc/alternatives/sendmail.postfix

そこで質問なのですがこのmtaのリンクをsendmail.sendmail -> sendmail.postfixに変更した場合、何か具体的に動作の違いは出てくるのでしょうか?

よろしくお願いいたします。

はじめまして。シアトルでシスアド見習いをしている者です。

今日みなさんにお聞きしたいのは、postfixとsendmailMTAの違いについてです。

いろいろな記事で比較されておりましたが、Google先生に聞いたところ
・sendmailは設定が複雑だけど未知のプロトコルにも対応している
・postfixは設定は簡単、MailDir構造を使用していて、SMTPプロトコルに特化
のような内容が沢山出てきました。

また、itmedia様の過去ログにて
・sendmailは送受信共にsendmailにて可能
・postfixは受信は受けるが、送信は外部MDA(?...続きを読む

Aベストアンサー

どちらもデフォルトの状態であればローカル配送のみでしょうから、SMTPとしての表面的な動作にそれほど違いはありません。

altanativesして不都合が生じるとしたら、コマンドベースのsendmailのリンクが張り替えられてオプションに違いがでてくるので、それを呼び出してるプログラム(CGIなど)がネイティブsendmail固有のオプションを付加している場合はエラーになるってくらいですかね。


まあそれはあくまでも表面的な動作としてであってです。内部的にはたくさん違いがありますよ。
SMTPサーバとして稼働済みのSendmailをPostfixに置き換えようとしているのだとしたら、話はもっとややこしくなると思います。

QアクティブディレクトリやDCが良く分かりません

タイトルの通りなのですが
ActiveDirectoryというのは、ユーザーアカウントを管理するもの、という認識でいいのでしょうか?
以前ちょっとだけ触れたことがあるのですがいまいち良く分かっていませんでした。
ドメインというグループのようなものを作り、そこに所属するグループ?のようなものを作り(OU?)
さらにそこに所属するユーザーアカウントを作る・・・って認識で良いでしょうか?
例えば

abc.com
  ├soumubu
  │ ├tanaka
  │ └yamada
  └jinjibu
     ├satou
     └suzuki

こんな風に、abc.comというドメインの中に、総務部と人事部のグループがあり
そこに所属している、田中さんや山田さんのアカウントがある・・・というようなイメージなのでしょうか?

また、ここでいう「ドメイン」とは、よくURLなどに表示されているwww.yahoo.co.jpといったドメインとは
全く別物なのでしょうか?
メールアドレスなどのドメインは業者から借りて使用していると聞きましたが
ActiveDirectoryで作成するドメインはURLやメアドで使用するものではなく
あくまでアカウントを管理するためのもの・・・という認識でよいのでしょうか。

ドメインコントローラーというもの、いまいちはっきりとしないのですが

>Active Directoryでは、こうした情報を扱い、ユーザーがログオンする際の認証を受け付けるコンピ>ュータのことを、ドメイン・コントローラと呼んでいる。

という説明をWebで見かけました。
ActiveDirectoryってそもそも何なのか、ソフトウェア?それともサーバが持つ機能の一つ?
どうもアカウント管理だけではなく、フォルダへのアクセス権を組織単位で設定できたりもするようですが
それ以外にもいろいろと機能があって、その一部がアカウントを管理する機能=その機能をもった
コンピュータをドメコンという、ということなのでしょうか?
というか、ActiveDirectory機能を有したコンピピューター=ドメコンではないのですか?
ドメイン管理の機能だけを別のコンピュータに持たせることができるから、このような説明なのでしょうか?


うまく疑問がまとめられず分かりにくくて申し訳ありません。
なにとぞご教授ください。

タイトルの通りなのですが
ActiveDirectoryというのは、ユーザーアカウントを管理するもの、という認識でいいのでしょうか?
以前ちょっとだけ触れたことがあるのですがいまいち良く分かっていませんでした。
ドメインというグループのようなものを作り、そこに所属するグループ?のようなものを作り(OU?)
さらにそこに所属するユーザーアカウントを作る・・・って認識で良いでしょうか?
例えば

abc.com
  ├soumubu
  │ ├tanaka
  │ └yamada
  └jinjibu
     ├satou
     └suzuki

こんな...続きを読む

Aベストアンサー

>ドメインというグループのようなものを作り、そこに所属するグループ?のようなものを作り(OU?)
>さらにそこに所属するユーザーアカウントを作る・・・って認識で良いでしょうか?

惜しい。ちょっと違う。

ドメインの中に、グループはグループ、ユーザーアカウントはユーザーアカウントで、個々に作成する。

で、グループの中に、所属メンバーのリストを作成する。

なので「所属メンバーが誰も居ないグループ」や「複数のグループに同時に所属するユーザー」などが出来る。

例えば「代表取締役社長」のアカウント「shacho_president」は、すべてのグループに所属させる事によって、特定のグループしかアクセス出来ないファイルなども、すべて閲覧可能にしたりする。

個々のグループ毎に社長アカウントが作成されている訳じゃなく、社長は一人だけ。「社長アカウント」は1個しか無い。

で、ドメインは「グループ企業体の個々の会社名」みたいなモノ。

グループ企業だと、個々の会社に社長が居るし、個々の会社に同じ名前の部署があったりする。

ユーザー名やグループ名が同じ名前であっても、ドメインが違えば、別物として扱う。

「社長!」と呼びかけた時に、A社社長とB社社長のどっちなのか区別できないと困るからね。

で、グループ企業体の全体情報を管理しているのが「ドメインコントローラ」なのですよ。

そして、ドメインコントローラは、普通、メインとサブの2台置く。

ActiveDirectory機能の中には、ログイン管理、ドメイン管理、グループ管理、アカウント管理の他、メインとサブの2台の情報の同期や、メインが死んだ時にサブをメインに昇格させる機能とか、色々な物を含む。

>ドメインというグループのようなものを作り、そこに所属するグループ?のようなものを作り(OU?)
>さらにそこに所属するユーザーアカウントを作る・・・って認識で良いでしょうか?

惜しい。ちょっと違う。

ドメインの中に、グループはグループ、ユーザーアカウントはユーザーアカウントで、個々に作成する。

で、グループの中に、所属メンバーのリストを作成する。

なので「所属メンバーが誰も居ないグループ」や「複数のグループに同時に所属するユーザー」などが出来る。

例えば「代表取締役社長」のア...続きを読む

Q同一フォレストにADサーバが複数存在する場合の運用

既存ドメインのフォレスト内に新規ドメインを構築する形で、両ドメイン間での信頼関係を結んでいます。
両ドメインのADサーバでは、DNSのforwardersの設定で互いのADサーバのIPアドレスを登録しており、
不明な問い合わせがあった場合は相手のADサーバに問い合わせて名前解決をしています。

上記の環境での運用について、2点教えて下さい。

【質問1】
この状況で新規に追加したADサーバを停止した場合、既存ドメインから新規ドメインの名前解決が
できなくなると思いますが、それ以外には影響が出ないと考えて良いでしょうか?気にしているのは、
もともと既存ドメインで完結していた機能が使えなくなるような事態が発生しないか、という点です。

【質問2】
一般的に、上記のように同一フォレスト内に複数のADサーバがある場合、
それぞれのADサーバを単独で停止させても良いものなのでしょうか?
それとも、単独で停止させるためには別フォレストにする必要があるのでしょうか?

Aベストアンサー

まず、標準ゾーン (プライマリまたはセカンダリ) とActive Directory統合ゾーンのゾーン情報の持ち方とゾーン情報の同期について理解しないと混乱すると思います。

標準ゾーンは、BINDなどの一般的なDNSサーバと同様に、各DNSサーバの <ゾーン名>.dns
というファイルにゾーン情報を持ちます。
もちろんこのファイルはローカルファイルなので共有されません。
同期はDNSのゾーン転送要求(AXFR,IXFR)でゾーン転送をすることで同期します。

プライマリとセカンダリの違いは、ゾーン情報を変更できる側と読み取り専用のコピーを持つ側という認識で良いかと思います。

Active Directory統合ゾーンは、Active Directoryデータベースにゾーン情報を持ちこれはDCで共有の情報です。
同期はもちろんActive Directoryで行います。
Active Directory統合ゾーンでは、全てのDNSサーバがゾーン情報を変更する(できる)ので全てがプライマリになります。

>1.AD統合ゾーンによるレプリケーションを行う場合、ゾーン転送は許可しなくても良いのでしょうか?

この許可はゾーン転送要求(AXFR,IXFR)を許可するしないに影響するため、不要ということになります。
(AD統合ゾーンはレプリケーションスコープによるところになります)

>2.AD統合ゾーンによるレプリケーションを行う場合、既存DNSに登録する新規ドメインの種類は

先に書いたように、ADでは1台のプライマリに更新を全部やらせるのではなく、それぞれのDNSサーバが情報を更新して同期されるようになっています。
だから、全てプライマリです。
BINDなどで複数のプライマリで構成することも出来ますが、ADのように同期させることは出来ないです。(最近はどうかわかりません)


セカンダリを使用しない場合の問題点を一つ追加すると
例えばプライマリ1台、セカンダリ複数台の場合、プライマリの1台が故障するとゾーンの変更が出来ず単一障害点になるということもあると思います。
もちろん全てのDNSサーバがAD統合ゾーンを使用出来る前提です。

まず、標準ゾーン (プライマリまたはセカンダリ) とActive Directory統合ゾーンのゾーン情報の持ち方とゾーン情報の同期について理解しないと混乱すると思います。

標準ゾーンは、BINDなどの一般的なDNSサーバと同様に、各DNSサーバの <ゾーン名>.dns
というファイルにゾーン情報を持ちます。
もちろんこのファイルはローカルファイルなので共有されません。
同期はDNSのゾーン転送要求(AXFR,IXFR)でゾーン転送をすることで同期します。

プライマリとセカンダリの違いは、ゾーン情報を変更できる側と読み取り...続きを読む

Qpingでポートの指定

pingでIPアドレスを指定して、通信できるかどうかというのは
よく使いますが、pingでポートを指定して応答するかどうかは調べられるのでしょうか?

よろしくお願いします

Aベストアンサー

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含むICMP)ではできません。

FTPの疎通確認であれば、クライアントからサーバに対するTCP/21通信(FTP-CMD)が可能であること(サーバからクライアントへのTCP/21からの応答を含む)+サーバからクライアントに対するTCP/20通信(FTP-DATA)が可能であること(クライアントからサーバへのTCP/21からの応答を含む)が必要でしょう。

監視ソフトによるものであれば、
・クライアントからサーバへのログイン(TCP/21)
・クライアントからサーバへのlsの結果(TCP/20)
で確認すればよいでしょう。

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含む...続きを読む

QIP-VPNとインターネットVPNの違い

就職活動をしている大学生です。
セキュリティとネットワークに興味があり、そこから自分が何をやりたいのか突き詰めて行った結果VPNを提供している企業が浮かび上がって来ました、業界研究をしている際に疑問が出てきました。

IP-VPNとインターネットVPNの違いの違いがいまいちわかりません。

インターネットVPNはインターネット上を介したVPN、IPは事業者のネットワーク内のVPNって解釈でよいのですかね??

そうなるとプライベート回線を引くのとIP-VPNの違いは???

提供している事業者の違い、VPNに関すること、VPNの今後&求められるもの等、教えてください。

よろしくお願いします。

Aベストアンサー

こんちは。hirasakuです。

簡単に言うと
インターネットVPNはその名の通り、インターネット網を利用した拠点間をあたかもLANのように使うためのWAN構築です。
基本的にVPN接続するためのルータの設定(トンネリングや暗号化・認証など)はユーザーが設定し、運用管理もユーザーが行います。
インターネット網なので通信に対する保障がありませんので、VPNに通すデータを検討しなければならない場合もあります。
一番安価に構築できランニングコストが抑えられます。

IP-VPNは通信事業者の閉域IPネットワーク網を通信経路として用い、自社専用ネットワークであるかのようなWANを構築できるサービスのことです。
通信事業者側で用意している網は品質を保証してあり、ユーザー側はIP-VPN網に接続するだけで、セキュアな通信ができ、インターネットVPN同様LANのように使えます。

プライベート回線とは専用線やフレームリレー網などのことを言っているのですかね?
専用線は料金が距離に比例し、拠点間の距離が離れるほどコストが大きくなり、セルリレー/フレームリレーは、フルメッシュ型接続ですけど、柔軟なネットワーク構築が難しいという問題があります。専用線・フレームリレーなどは回線帯域の割にはコストが高いので、インターネットVPNやIP-VPNでコストを安くしてネットワークを構築するようになってきてます。

インターネットVPNやIP-VPNはプロトコルにIPを使わなくてはならないので、データはIPに乗せる必要があります。
そこで、広域イーサネットというサービスを各通信事業者が行っています。広域イーサネットはプロトコルをIP以外(IPXやSNAなど)を通すことができ、またイーサなので、WAN側に接続するのに極端な話、スイッチでつなげられますので、今までのようにルータの設定などいらなくなります。(VLAN構成にするならスイッチの設定が必要ですけけど)また、QoSなどデータの優先制御や帯域制御などもできますので、VoIPなどにも使えますね。
ということで、簡単に拠点間のLAN構築が可能になります。

提供しているサービスの違いは、どこも似たり寄ったりかなって思いますけど。
サービス提供エリアや、構築にあったオプションサービスなどで選べばいいのでは。

こんちは。hirasakuです。

簡単に言うと
インターネットVPNはその名の通り、インターネット網を利用した拠点間をあたかもLANのように使うためのWAN構築です。
基本的にVPN接続するためのルータの設定(トンネリングや暗号化・認証など)はユーザーが設定し、運用管理もユーザーが行います。
インターネット網なので通信に対する保障がありませんので、VPNに通すデータを検討しなければならない場合もあります。
一番安価に構築できランニングコストが抑えられます。

IP-VPNは通信事業者の閉域IPネットワ...続きを読む

Q「グループ名またはユーザー名」の"SYSTEM"について

細かくアクセス制限を行おうと思い、セキュリティタブを表示するようにしたのですが、「グループ名またはユーザー名」の中で、ほぼ初期値としてはいっている"SYSTEM"は削除すると支障が出るでしょうか。
たとえば「マイドキュメント」フォルダは"SYSTEM"を削除すると支障が出るでしょうか。
"SYSTEM"が絶対に必要なフォルダとは、どういうフォルダでしょうか。
なんとなく"WINDOWS"フォルダには絶対に必要な気がするのですが、「グループ名またはユーザー名」の"SYSTEM"について詳しく解説していただければありがたいです。

Aベストアンサー

SYSTEM のアクセス許可を削除すると、タスクマネージャのプロセスタブで、ユーザー名が SYSTEM となっているプロセスからそのフォルダへのアクセスが出来なくなります。

Windowsにログインする前から起動してPCの保守などを行うようなプロセスは、基本的にSYSTEMユーザーで動いていますので、たとえば、わたしのPCでは、Norton AntiVirusがSYSTEMユーザーのプロセスとして動いていました。

この場合、マイドキュメントフォルダからSYSTEMユーザーのアクセス制御を削除すると、マイドキュメントフォルダは保護されないことになります。

Qネットワークのトラフィック量を測定できる方法はありますか?

 すいません。ものすごく困っております。

 会社の工場にPAnasonic製のネットワークカメラを20台程設置しているのですが、ネットワークへの負荷が大きいため、たびたび画像が固まることがあります。

 そこでどこの箇所で負荷がかかっているのか測定したのですが、なにかツールもしくは測定方法はないでしょうか。例えばHUBとHUBの間のLAN線にかかっているトラフィック量を測定してみたいです。

 すいませんが、ご教示願えないでしょうか。

 よろしくお願いいたします。

Aベストアンサー

HUBがSNMP対応のインテリジェントHUBであれば、そんなに難しい問題ではないですね。SNMPの設定を行った上で、ネットワーク管理ツールでトラフィックを計測すればOKです。

そうでない場合はちょっとやっかいですね。
とりあえず、ネットワークの図面を書いてみて、どこにどんなHubがあって、どんなPCやネットワークカメラなどの機器がつながっているかを書き出してみてはいかがでしょう?
具体的なトラフィックの数値がわからなくても、怪しいところはあぶり出せると思いますよ?

Q「以降」ってその日も含めますか

10以上だったら10も含める。10未満だったら10は含めない。では10以降は10を含めるのでしょうか?含めないのでしょうか?例えば10日以降にお越しくださいという文があるとします。これは10日も含めるのか、もしくは11日目からのどちらをさしているんでしょうか?自分は10日も含めると思い、今までずっとそのような意味で使ってきましたが実際はどうなんでしょうか?辞書を引いてものってないので疑問に思ってしまいました。

Aベストアンサー

「以」がつけば、以上でも以降でもその時も含みます。

しかし!間違えている人もいるので、きちんと確認したほうがいいです。これって小学校の時に習い以後の教育で多々使われているんすが、小学校以後の勉強をちゃんとしていない人がそのまま勘違いしている場合があります。あ、今の「以後」も当然小学校の時のことも含まれています。

私もにた様な経験があります。美容師さんに「木曜以降でしたらいつでも」といわれたので、じゃあ木曜に。といったら「だから、木曜以降って!聞いてました?木曜は駄目なんですよぉ(怒)。と言われたことがあります。しつこく言いますが、念のため、確認したほうがいいですよ。

「以上以下」と「以外」の説明について他の方が質問していたので、ご覧ください。
http://oshiete1.goo.ne.jp/kotaeru.php3?qid=643134


人気Q&Aランキング

おすすめ情報