本記事について
Azure Stack HCI 23H2ではActive Direcotryに専用のOUとユーザーアカウントが必要になります。
このOUとアカウントは手動で作成しておくこともできるのですが、専用の準備ツールがMicrosoftから提供されています。
この記事では準備ツールでおこなっているOUとユーザーアカウントの作成処理について、準備ツールのコードを読み解いていきます。
目的
Active Directoryは企業の中でも管理するユーザーが限られていることが多いかと思います。
Azure Stack HCIを導入しようとしている事業部門とAD管理者が異なることもあるでしょう。そんな時に準備ツールの内容を把握しておき説明できればスムーズに導入作業が進められることでしょう。
また、手動で準備する場合にも準備ツールと同様の設定をおこなうために細かな設定内容を把握しておきたいものです。
準備ツールの実行について
準備ツールの実行は非常にシンプルです。
まず、準備ツールをPSGalleyからインストールし、以下のようにOU名を指定して実行し、Get-Credentialのポップアップで作成するユーザーアカウント名とパスワードを指定するだけになります。
New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "OU=hci,DC=contoso,DC=local"
※上記ではcontoso.localドメインにhciという名前のOUを作成
詳細はAzure Stack HCIのドキュメントを参照しましょう。
Microsoft Learn | Prepare Active Directory
準備ツールの処理
今回確認する準備ツールのバージョンは以下になります。
23H2のリリース以降、準備ツールの処理もAzure Stack HCI側の仕様変更に併せて何度か変更されていますので今後も変更になる可能性があることには注意しましょう。
必要なモジュールと前提条件
この準備ツールでは以下3つのモジュールをインポートしています。
Active Direcotryサーバで本準備ツールを実行する場合は、おそらく既にインストールされていることでしょう。
- ActiveDirectory
- GroupPolicy
- Kds
また、本準備ツールを実行するにはOUの作成がおこなえる権限が必要になります。
処理
処理は大きく5つに分かれており個別の関数を呼び出しています。
- Test-AsHciOU
引数に指定したOUの上位のパスが存在することを確認しています。 - New-AsHciOrganizationalUnit
指定したOUを作成しています。
既に指定のOUがある場合は処理をスキップしています。 - New-AsHciUser
OU内にユーザーアカウントを作成しています。
ここでも既に同名のユーザーアカウントがある場合は処理をスキップします。
なお、作成するユーザーアカウントのパスワードの有効期限は無期限に設定しています。 - Grant-HciOuPermissionsToHciLCMUser
作成したOUをスコープとして作成したユーザーアカウントに以下の3種類の権限を割り当てています。
ここが一番の気になるポイントですね。
まず、前提として今回作成しているOUをスコープとして作成したユーザーアカウントに権限を割り当てています。
既存のOUやユーザーアカウントには手を入れません。
- OU内でコンピュータオブジェクトを作成・削除できる権限
- OU内の全オブジェクトのプロパティの読み取り権限
- "msFVE-RecoveryInformation"に対するフルコントロール権限
3つ目のフルコントロール権限についてはBitLockerの暗号鍵へのアクセス権限のようです。
- Block-GPInheritance
作成したOUに対してグループポリシーの継承をブロックするように設定しています。
まとめ
準備ツールは非常にシンプルな処理となっていました。
専用のOUの外部には影響しない処理になっていますので安心して利用できるかと思います。