【環境準備】
Virtual BoxとはOSを仮想化するツールです。
Windows上で仮想マシンを使ってもう一つのサーバーやWindowsを稼働できます。
ここでは、Oracle Virtual Boxを使ってWindows Server 環境の基本的なユーザー設定を実習してみました。
まず、Windows Serverはどのような機能をするのでしょうか。
Windows Serverは Active Directoryとして、ユーザーのアカウント、コンピューター、またはグループポリシーをまとめて管理するプログラムです。
社内のログインを管理するSO(シングルサインオン)を実現する仕組みの一つです。
.
.
.
【ハンズオン手順(実習内容整理)】
1. ユーザーアカウントの作成
Windows ServerのサーバーマネージャダッシュボードのツールからADユーザーとコンピューターの項目を開くと、画像のような画面が見られます。
ここで作成したアカウントをWindows側から使えます。
Windowsの方からsysdm.cplを実行すると、ログイン画面が出ます。そのログイン画面に、作成したアカウントのIDとパスワードを使いサーバーにログインできるのです。
しかし、このままではすぐにログインはできません。
なぜかというと、DNSサーバーにログインされていないからです。
DNSとは、Domain Name Systemの略で、IPアドレスを調べるシステムです。PCからドメインに参加するためには、このDNSの接続先をWindows Serverに変える必要があります。
なので、ncpa.cplから、Windows ServerのDNSにログインすることで、WindowsのドメインがWindows Serverのものに変更し、ログインするのが可能になるのです。
DNS登録が完了すれば、Windows Serverからコンピューターが追加されたのが確認できます。
Windows Serverのユーザー管理では、アカウントの無効化、ID、パスワードの変更、移動なども行えます。
2.共有フォルダー
Windows Serverにフォルダーを作り、ユーザーたちと共有することができる機能です。
共有フォルダーが必要な理由は、部署情報が入ったフォルダーをその部署だけに権限を与えて共有することで仕事の能率を高められるからです。
しかし、もし権限の設定が間違っていると、アクセスしてはいけない人にもアクセス権が与えられるおそれがあるので、気をつける必要があります。
共有フォルダーの権限管理はIT管理者の重要な仕事の一つです。
中央サーバーのストレージを活用してチーム間のファイル共有を効率化し、ユーザーごとにアクセス権限を制御して機密データを保護するためなのです。
まず、Windows Serverからフォルダーを作ります。
そのフォルダーを右クリックすると、アクセスを許可するという項目があります。
そこで特定のユーザーをクリックします。ここでフォルダーの共有対象、読み取り、書き込みの権限の設定などができるのです。
これでWindows Serverの設定は完了です。
そして、Windows側では共有対象と権限設定がすべて完了したら、画像のようにWindows ServerのIPアドレスを実行して、user-administrator-desktopに入ればその共有フォルダーが読み込まれるのであります。
3.GPO
GPOとは、Group Policy Objectの略であり、ドメイン内のユーザーやコンピューターに一括にポリシーを与える機能であります。
例えば、パスワードは10文字以上にすること、USBメモリの利用を制限することなどの、セキュリティポリシーを設定できます。
数百台のPCを個別に設定することなく、USB使用制限やパスワードの複雑さなどのセキュリティポリシーを一括適用して、組織全体のセキュリティを保護することであります。
基本的にDefault Domain Policyという基本設定が存在します。
ADユーザーとコンピューターから、OUを作成し、グループを作成してユーザーをそのグループに与えます。
ここでOUとは、Organizational Unit、組織単位の略で会社でいう部署のようなものであります。
このように、Default Domain Policyの設定が可能なのであります。
そして、GPOの作成をしてみましょう。
まず新規作成したグループポリシーの編集を開きます。
そしてグループポリシーの管理で、新規作成をクリックし、新たなポリシーをさくせいして編集をクリックする。
そしたらあらゆるユーザーとコンピューターに対するポリシーを作成できます。
例えば、リムーバブルメディアの禁止するポリシーを作成するとしましょう。
項目から記憶域へのアクセスに入り、リムーバブルディスクのアクセス権に関する項目をダブルクリックし、有効にすることでポリシーの設定が完了になりました。
最後に、ドラッグアンドドロップすることで作成したポリシーをユーザーグループに適応できます。
GPOはLocal→Site→Domain→OUの順番で適用され、後から適用されたものが優先されます。つまり、OU単位で設定したポリシーが一番強いのであります。
このように、GPOの作成し、ユーザーグループに適用することができます。
【まとめ】
資格勉強時に、文字の説明だけでは抽象的で理解がしにくかったため、Udemyを活用し、ハンズオン実習をしてみました。
本来なら複数のPCでする作業をVMで実習することができました。実習する前は、PC一台でも数台のような使い方が可能ということにびっくりしました。
ADに関しましては、自分でGPOを設定したりユーザーアカウントの設定をしたりして見ることで理論的に知っていたことがもっとはっきりし、概念を理解できるようになりました。
ハンズオントレーニングの内容が、自分の環境で全て提示された通りにはいかない場面もありました。
例えば、VMの設定中に講義上で使われるWindows10がもうサービスしないためWindows11をダウンロードしたり、講義ごとに違うWindows Serverのバージョンを使ったりしました。
少し 手間がかかるようなトラブルがあったものの、どうすれば解決できるか調べながら問題になっている部分を解消し、無事実習内容を終わらせることができました。
AD実習はこれで完了ですが、続きとしてLINUXも同じようにハンズオンベースでの勉強をする予定です。