こんにちは。
ドメインの機能レベルについてあーだこーだ言うブログ、3回目も引き続きWindows Server 2003です。
ちなみに前回のエントリのタイトルが「Windows 2003」になっていたので修正しました。正しくは「Windows Server 2003」です。
いつものように詳細については以下を参照ください。

Understanding Active Directory Functional Levels

今週取り上げる3点は実はこれまで使用したことがないものばかりだったりします...。勉強しながら書いていきたいと思います。

5. 承認マネージャーでAD DSの承認ポリシーを保管する

アプリケーションに対してロールベースのアクセス制御を行うための「承認ポリシー（Authorization Policy）」をAD DSに保持することができる、という機能です...が、あまり使っている人を見たことがないというのが正直なところです。承認マネージャー自体Windows Server 2012以降非推奨になっているようで、AD LDSも下火になっている昨今聞かれなくなっていくものになるのではと思います。

6. 制約付き委任

制約付き委任の説明には次のように書いてあります。

制約付き委任は特定のサーバーがユーザーの代理として動作する対象のサービスを制限します。
When it is configured, constrained delegation restricts the services to which the specified server can act on the behalf of a user.

サーバーがユーザーの代わりに動作する際、余計なサービスまで利用可能になると困るので制限をかけることができる、といったところでしょうか。

7. 認証の選択

「信頼する側のフォレスト」のリソースサーバーで認証することを許可されているような「信頼されている側のフォレスト」ユーザーやグループを指定することができる機能です。ここで「信頼する側」「信頼される側」とありますが、

• 「信頼する側」が実際にファイルやフォルダ、Webページヘのアクセスをする側
• 「信頼される側」がアクセス制御するためのユーザーやグループを保持している側

になります。信頼する側にアクセスしにいったとき、信頼される側のユーザーだったらOK、というイメージです。信頼関係についてはまた別途図を使いながら。

次回はWindows Server 2008です。