正解:C
この問題の核心は、サイトリンクが保存されている 「構成(Configuration)パーティション」 の書き込み権限と、サイトリンクが影響を及ぼす 「スコープ(範囲)」 にあります。
1. サイトリンクは「フォレスト全体」の共有設定
Active Directoryのサイト情報は、特定のドメイン内ではなく、フォレスト内のすべてのドメインコントローラーで共有される Configurationパーティション に保存されます。
サイトリンクは複数のサイト(そしてそれらが属する複数のドメイン)にまたがるレプリケーションを制御します。
そのため、特定の「子ドメインの管理者」が勝手に変更できるものではありません。
2. 権限の壁:Domain Admins vs Enterprise Admins
コミュニティの意見でも指摘されている通り、デフォルトの状態では以下のようになります:
Enterprise Admins (Admin1): フォレスト全体の構成パーティションに対してフルコントロール権限を持っています。当然、すべてのサイトリンクを変更可能です。
フォレストルートドメインの Domain Admins (Admin2): ルートドメインの管理権限は非常に強力ですが、厳密には「他のドメイン」の管理権限を直接持っているわけではありません。ただし、ルートドメインの管理者は Enterprise Admins グループのメンバーシップを自分に追加できるため、実質的には権限を持てる立場にあります。
子ドメインの Domain Admins (Admin3): 自分のドメイン内では王様ですが、フォレスト共通の「サイト構成」を変更する権限は持っていません。
3. 「CURRENTLY(現在)」という言葉の重み
試験問題に「CURRENTLY(現在、タスクを実行できるのは誰か)」という言葉が含まれている場合、**「追加の手順(自分の権限を昇格させる、誰かから権限を委任される等)なしで今すぐ実行できる人」**を指します。
Admin2(ルートドメイン管理者)が Enterprise Admin に自分を追加すれば実行できるとしても、それは「現在の状態」ではありません。
したがって、デフォルトでその権限を保持している Admin1 (Enterprise Admin) だけが唯一の正解となります。
4. サイトリンクが「すべて(ALL)」であること
コミュニティの PrettyFlyWifi 氏が述べている通り、要件が「すべてのサイトリンクを管理する」である場合、特定のドメイン(例えば Canada 子ドメイン)の管理者は、親ドメインが絡むリンクを操作することはできません。フォレスト全体を見通せる権限を持つのは Enterprise Admins のみです。
結論
実務上の経験談として語られている「Domain Admin では変更できず、Enterprise Admin になって初めて変更できた」というエピソードは、まさにこの技術的仕様を裏付けています。
Admin1: Enterprise Admin = 可能
Admin2: Root Domain Admin(自分を格上げすれば可能だが、現在は不可) = 不適
Admin3: Child Domain Admin = 不可
したがって、C (Admin1 only) が最も論理的で、試験の意図に沿った正解となります。
コメント