HGS を独自の専用フォレストまたは既存の要塞フォレストのどちらにインストールするかを選択する
HGS の Active Directory フォレストは、管理者がシールドされた VM を制御するキーにアクセスできるため、機密性が高いと言えます。 既定のインストールでは、HGS 専用の新しいフォレストがセットアップされ、他の依存関係が構成されます。 このオプションは、自己完結型の環境であり、作成時にセキュリティ保護されていることがわかっているために推奨されます。
既存のフォレストに HGS をインストールするための唯一の技術的な要件は、それがルート ドメインに追加されることです。ルート以外のドメインはサポートされていません。 ただし、既存のフォレストを使用する場合には、運用上の要件とセキュリティ関連のベスト プラクティスもあります。 AD DS の特権アクセスの管理で使用されるフォレスト、または拡張セキュリティ管理環境 (ESAE) のフォレストなど、適切なフォレストは、1 つの重要な機能を提供することを意図して構築されています。 通常、このようなフォレストには次の特性があります。
- (ファブリック管理者とは別に) 管理者の数が少ない
- ログオン数が少ない
- 本質的に汎用的でない
運用フォレストなどの汎用フォレストは、HGS での使用には適していません。 また、HGS はファブリック管理者から分離する必要があるため、ファブリック フォレストも適していません。
次のステップ
ご自分の環境に最も適したインストール オプションを選択します。