ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

ドメイン間の信頼を構成するアカウントは「Trusted Domain Object(TDO)」普段表示されない

普段からWindowsサーバを構築することが多いので、勉強がてらマクロソフトのフォーラムをチェックしています。ちょうど、Active Directoryの移行があるので色々と調べているのですが、知らない知識があって参考になったのでシェアします。

 

ドメイン間の信頼を構成するアカウントは「Trusted Domain Object(TDO)」普段表示されないそうです。

 

情報元はこちら。

 

ドメインのビルトイン管理者のパスワードを変更した場合、既存のドメインの信頼関係に影響はあるでしょうか

https://social.technet.microsoft.com/Forums/ja-JP/7f2de9ef-297f-4fec-88dd-bf1d288bfb6d?forum=winserver8

 

 

以下は質問内容の抜粋です。

 

信頼関係にある2つのドメインで、双方のドメインのビルトイン管理者のパスワードを変更した場合、ドメインの信頼関係に影響があるでしょうか?信頼関係は、以下のようになっています。

1)フォレストA~ドメインA
 信頼の種類: 外部
 信頼の推移: いいえ
 信頼の方向: 入力方向
 認証: ドメイン全体の認証

2)フォレストB~ドメインB
 信頼の種類: 外部
 信頼の推移: いいえ
 信頼の方向: 出力方向
 認証: ドメイン全体の認証


パスワード変更の順序は、ドメインA⇒ドメインB となります。また両ドメインで、パスワードは異なります。検証環境を作って、パスワード変更のたびに、両方のドメインでActiveDirectory ドメインと信頼関係~ドメインの「プロパティ」~「信頼」タブ~信頼関係の「プロパティ」~「検証」ボタンでチェックしてみましたが、常に「信頼が存在し、有効です」と表示されました。

 

確かにこういった影響のありそうな作業をする場合は気になりますよね。そして、以下が回答です。

 

この件ですが、ドメイン間の信頼を構成するアカウントは「Trusted Domain Object(TDO)」という、隠しアカウントになります。なので、利用者は意識せず利用することになり、パスワード変更はシステムが自動で行います。

したがって、ビルトインを含め、管理者が管理可能なアカウントはまったく影響を与えないので、問題ありません。

 

とのことです。同様の懸念を気にしている方は参考なりますね。

 

エレコム マウス ワイヤレス (レシーバー付属) Lサイズ 5ボタン (戻る・進むボタン搭載) BlueLED 握りの極み ブラック M-XGL10DBBK