△　図をクリックすると拡大されます 図4●信頼関係があるとはどういうことか

ドメインの信頼関係とは，リソースを使わせること
　「AドメインがBドメインを信頼する」とは，Bドメインの登録ユーザーが，Aドメインのアクセス許可を得られる状態を意味する図4。つまり，信頼するとは，相手のシステム・リソースの使用を許可するということだ。そして，フォレスト内の全ドメインは，お互いにお互いを“信頼する”関係にあるので，AドメインとBドメインが同じフォレスト内にあれば，「AドメインがBドメインを信頼する」だけでなく「BドメインがAドメインを信頼する」ことにもなっている。

△　図をクリックすると拡大されます 図5●Windows NTドメインの信頼関係

　Windows NTのドメインの信頼関係は，一方向で，かつ推移しないものであった（<図5）。しかし，Active Directoryのフォレスト内では，双方向で，かつ推移するものになっている。信頼関係が推移するとは，AドメインとBドメインとが相互に信頼関係があって，BドメインとCドメインとも相互に信頼関係があるときに，AとCとの間にも信頼関係があるということである。推移しない信頼関係とは，その2つのドメインの間に限定されるような信頼関係である。Active Directoryになってそれだけ管理する信頼関係が少なくなった。

　Windows 2000/2003でも，Windows NTドメインとの信頼関係を結ぶことを想定し，従来の一方向で推移しない信頼関係を結ぶことも可能である。ただし，この場合は，参照できる情報もWindows NT 4.0と同じ程度の情報に限定されるため，Active Directoryの能力を十分に発揮できない。

△　図をクリックすると拡大されます 図6●フォレスト間信頼

　Windows Server 2003では，新たに「フォレスト間信頼」という機能が導入された。別フォレストであっても，フォレスト間信頼を結べば，フォレスト内のドメイン同士は双方向の推移する信頼関係を結べる。ただし，フォレスト間信頼自身は推移しない（図6）。

ドメイン内部にも階層を持たせる組織単位（OU）で、よりきめ細かい管理ができる
　ドメイン内の階層管理を行うのが組織単位（OU）である。OUの目的は主として，（1）管理者がドメインの状況を把握しやすくする，（2）管理権限を委任する，（3）グループ・ポリシーの適用——の3種類である。

　これらすべての機能は，管理者が行う作業である。OUは，管理者のための機能であって，一般ユーザーのための機能ではない。Windows 2000では，エクスプローラからOU階層を簡単にたどれたが，Windows XP以降，この機能は廃止された。本来，管理者のための機能が，一般ユーザーから簡単に利用できるのは望ましくないという判断だろう。一般ユーザーからのアクセスを禁止するわけではないが，想定した利用者ではないので，簡単なアクセス方法を提供する必要もないというわけだ。

　こうして考えてみると，会社の組織構造をOUに反映することはナンセンスだということが分かる。会社の組織はビジネスのために最適化されているが，コンピュータの利用形態を反映しているわけではない。例えば，IT管理部門から見た場合，営業1課と営業2課の違いはほとんどないに等しいだろう。ユーザーの数があまりに多いなどの理由で，別階層に分類したいだろうが，一般には同じようなスキル・レベルのユーザーが，同じようなアプリケーションを使い，同じようなPCを使っているはずだ。このような場合は，営業部全体で単一のOUを作成すればよい。場合によっては，もっと大きく分類し，総務部と人事部を同じOUにすることも決して不自然ではない。重要なことは，管理者にとって最適な階層かという点である。

＊　　＊　　＊

　以上で，Active Directoryの論理的な構成要素の紹介を終わる。次回は，ネットワークの接続状況を反映するための物理構造ついて紹介する。