Active Directory ドメインを作ってみよう

その 2 ：ユーザーやグループの作成と PC のドメイン参加

小山 三智男mitchin

Microsoft MVP for Directory Services

2

Active Directory ドメイン構造

フォレスト

ドメインツリー

ドメイン

test.local

ドメイン

west.test.local

ドメイン

east.test.local

ドメインツリー

ドメイン

test2.local

ドメイン

sub.test2.local

3

Active Directory サイト構造

サイト

DC1

TokyoSite

DC2

DC3

サイト内複製

サイト内複製

サイト

DC5

OsakaSite

DC4

サイト内複製サイト間複製

サイトリンクサブネット192.168.0.0/24192.168.1.0/24192.168.2.0/24

サブネット172.16.0.0/24172.16.1.0/24

Tokyo-OsakaLink

4

ドメインの作成・設定手順

ドメインコントローラーを作成してドメインを作成• TCP/IP の設定• Active Directory ドメイン サービス（ AD DS ）と DNS

サーバーのインストール• ドメインコントローラーへの昇格• DNS サーバーの設定• タイムサーバーの設定（推奨）• 組織単位（ OU ）、グループ、ユーザーなどの作成• コンピューターをドメインに参加• グループポリシーの設定（ユーザー用をちょっとだけ）

ドメインコントローラーを追加• サイトの設定（サブネットの追加）

5

管理ツール

「 Active Directory ユーザーとコンピューター」を起動 ※ サーバー マネージャーでもできます

6

作成・管理するオブジェクト

一般的には次の 6 つのオブジェクトを作成・管理します。• ユーザー• グループ• コンピューター• 組織単位（ OU）• プリンター• 共有フォルダー

7

組織単位（ OU ）の作成

OU はファイルシステムでいうフォルダみたいなもので、ユーザーやグループ、コンピューターや OU を格納します。部署などの OU を作成して上記オブジェクトをまとめます。OU にはグループポリシーを設定（適用）できます。

削除されないようにするには「間違って削除されないようコンテナーを保護する」にチェックを入れます。

8

グループの作成

グループは同じ部署やプロジェクトなどに所属するユーザーをまとめるために作成します。アクセス権の設定対象にするので グループの種類を「セキュリティ」にします。

9

グループのスコープ

作成可能なグループのスコープは次の 3 つです。• ドメイン ローカル• グローバル• ユニバーサル

詳細は「 Active Directory Domain の Group 」を参照。http://www.slideshare.net/mitchin227/group-40422613

10

ユーザーの作成

対象の OU に作成します。ユーザーは オブジェクトの中で最も多くのプロパティを持ちます。

11

ユーザーの作成

パスワードを入力、オプションを選択します。作成後は所属するグループ、住所や電話、組織などのプロパティを設定します。

12

コンピューターの作成

コンピューターを事前に作成する場合は、作成したい OU に作成します。コンピューター名を入力するだけです。

ドメイン参加時に自動的に作成することもできます。

13

プリンターの作成

デバイスとプリンターで共有プリンターのプロパティから 共有タブの「ディレクトリに表示する」にチェックを入れることで自動的に作成されます。

詳細は「 Move the added printer to specific OU 」を参照。http://www.slideshare.net/mitchin227/move-printertoou

14

共有フォルダの作成

名前とネットワーク パスを入力します。作成後はキーワードを設定します。

15

コンピューターをドメインに参加

Windows 8 や Windows Server 2012 などの PC をドメインに参加させるとその PC はドメインのメンバーになり、ユーザーはその PC からドメインにログオンできるようになります。※ ログオンする権利があれば です。ドメインに参加させるにはドメインコントローラーと通信できないといけないので、 TCP/IP の設定で優先 DNS サーバーのアドレスの欄にドメインコントローラーの IP アドレスを指定します。

ドメインへの参加はシステムのプロパティから行います。

16

コンピューターをドメインに参加

「変更」ボタンをクリック。

17

コンピューターをドメインに参加

「ドメイン」を選択しドメイン名を入力して「 OK 」ボタンをクリック。

18

コンピューターをドメインに参加

ドメインの管理者のアカウントとパスワードを入力して「 OK 」ボタンをクリック。ようこそダイアログがでれば参加 OK になったので、後は「 OK 」ボタンをクリックしていって再起動します。

19

ドメイン参加後

フル コンピューター名にはドメイン名が付加され、ワークグループからドメインに変わりました。

20

ドメイン参加後の PC のローカルグループ

Administrators グループのメンバーに Domain Admins グループが追加され、 Users グループのメンバーに Domain Users グループが追加されました。

21

ユーザー用のグループポリシーの設定

管理ツール「グループ ポリシーの管理」で Default Domain Policy を編集します。

22

パスワードのポリシーの設定

「コンピュータの構成」－「ポリシー」－「 Windows の設定」－「セキュリティの設定」 －「アカウント ポリシー」 －「パスワードのポリシー」を選択。

23

パスワードのポリシーの設定

「パスワードの長さ」を設定。

24

パスワードのポリシーの設定

「パスワードの変更禁止期間」を設定。

25

パスワードのポリシーの設定

「パスワードの有効期間」を設定。

26

パスワードのポリシーの設定

「パスワードの履歴を記録する」を設定。

27

アカウント ロックアウトのポリシーの設定

「コンピュータの構成」－「ポリシー」－「 Windows の設定」－「セキュリティの設定」 －「アカウント ポリシー」 －「アカウント ロックアウトのポリシー」を選択。

28

アカウント ロックアウトのポリシーの設定

「アカウントのロックアウトのしきい値」を設定。

29

アカウント ロックアウトのポリシーの設定

「ロックアウト カウンターのリセット」を設定。

30

アカウント ロックアウトのポリシーの設定

「ロックアウト期間」を設定。

31

詳細や関連情報はブログ等で

Active Directory ドメインを作ってみよう　～ドメインの作成と DNS サーバーの設定～。http://www.slideshare.net/mitchin227/create-domain

グループのスコープと種類http://blogs.wankuma.com/mitchin/archive/2014/10/13/493201.aspx

ドメインに組織単位（ OU ）、グループ、ユーザーを作成http://blogs.wankuma.com/mitchin/archive/2014/05/19/331449.aspx

事前にコンピューターアカウントを作って その PC をドメインに参加http://blogs.wankuma.com/mitchin/archive/2014/05/20/331512.aspx

事前にコンピューターアカウントを作らないで PC をドメインに参加http://blogs.wankuma.com/mitchin/archive/2014/05/23/332085.aspx

追加したプリンタを特定の組織単位（ OU ）に配置するhttp://blogs.wankuma.com/mitchin/archive/2014/01/09/328337.aspx

Active Directory 関連ブログの一覧http://www.pbyk.com/blog/bloglist.html