#結論
方法1
- [サポート + トラブルシューティング] - [パスワードのリセット]
方法2
- [設定] - [拡張機能] - [Custom Script Extension]
#経緯
Azure 仮想マシンにおいて、Azure Portalからのユーザのパスワードの変更、新規ユーザの追加には、「方法1」でのやり方が一般的だと思います。
しかしながら、この[パスワードのリセット]機能は一般的なマシンに対し有効であり、
例外として[Active Directory]機能を提供しているマシンについてはこの機能はサポートされていません。
実行するとこのようなエラーがでます。
VMAccess Extension does not support Domain Controller.
そこで、[Custom Script Extension]機能を用いれば、ユーザの追加ができるのではないかと試したところできてしまったので備忘として残します。
ぶっちゃけ上記エラーでぐぐれば一発で以下のDeveloper Networkで出てきますが、見たところ英語での記事は見つけたのですが日本語記事がなかったのでもしものときのために。
Error message: "VMAccess Extension does not support Domain Controller."
##方法1について
割愛
##方法2について
[Custom Script Extension]機能について、そもそもは作業用のマシンで書いたスクリプトをAzure 上の仮想マシンに送りつけて、そのスクリプトを仮想マシンに実行させます。
使い方としては、手動での設定等々を全てスクリプトに落とし込み、多数のマシンへ流すことで作業の簡略化が図れるものと理解しています。
そこで、この機能を利用してActive Directoryにユーザを追加できれば、
Active Directory機能を提供している仮想マシンにユーザが追加できるというわけです。
方法は単純で、Active Directoryにユーザを追加するコマンドを記載した.ps1ファイルを作成し、[Custom Script Extension]機能で仮想マシンに送りつけるだけです。
net user <Username> <Password> /add /domain
ただし、このままですと単にユーザを追加しただけですので、適当にグループに所属させるコマンドも追記して送りつけてあげましょう。
net group <Groupname> <Username> /add /domain
##後記
もともとは、Active Directoryにて、何らかの影響でユーザやパスワードが不明確になった場合の措置を考えていたところ、思いついた方法でした。
基本はActive Directoryは複数台構成で冗長化されますが……
また、今回のことで[Custom Script Extension]機能は意外と何でもできると思っており、Azure Portalにサインインさえできれば悪意ある行為をいくらでも実行できそうでした。
まぁ、Azureにサインインできる時点でMFAの設定をしていればある程度のリスク回避にはなると思いますが。