■ActiveDirectoryの構築
新規サーバ構築に伴ってADを構築することになったのですが、思った以上にわからないことが多かったのでメモとして残します。
◇現状
・資産管理ソフト(SKYSEAやLanScopeCat等)でクライアントPC(約350台)を管理
・従業員はオンラインストレージにデータを入れており、ファイルサーバは無し
・下記の課題は感じつつも、AD導入の大変さを考えると導入の優先度低い
◇AD導入で解決したかった課題
・クライアントPCのOSパスワードが変更できない
・データ容量が増えてきたので、サブストレージとしてファイルサーバ構築を検討
※オンラインストレージを増量したいが、コストの問題でファイルサーバが現実的
・Saasが増えてきたのでシングルサインオンしたい
◇悩んだ点
・ActiveDirectoryが基本過ぎるのか、初心者向け情報が意外と少ない
・AWS MicrosoftAD構築情報は多く見つけられたが、基本的なADの運用方法を見つけるのに苦労
・AWS MicrosoftADで必要となるDHCPオプションセットがVPC単位でしか適用できない
※ひとつのVPCで運用していたので、既存環境への影響調査に時間がかかった
・AWS MicrosoftADは直接操作できず、「管理ツールを入れたサーバが必要」がわかるまで時間がかかった
◇結論
最終的に下記の2記事だけで構築できることが理解できた。
■ActiveDirectoryのポリシー設定
◇ユーザーアカウントの作成
◇ユーザーアカウントにログイン権限を付与(RDP接続できるように)する
◇パスワードポリシー設定
(下記ページの[Fine-Grained Password Policiesの使い方]を参照)
◇グループポリシー作成
◇グループポリシーが適用されない場合の対応方法
ログオンスクリプトが上手く動作しない場合、クライアント側で「gpresult /z」を実行します。
これで適用されたGPOの情報や、実行結果を確認することが出来ます。
gpresult /z
強制的にポリシーを適用する場合は「gpupdate /force」を実行します。
gpupdate /force
■コマンドライン
◇コマンドラインからユーザーを追加したい
サンプルコマンド
dsadd user "CN= ,OU= ,OU= ,DC= DC= ,DC= " -samid hogehoge -upn hogehoge@fugafuga.co.jp -pwd Password -display hogehoge
"CN= ,OU= ,OU= ,DC= DC= ,DC= "の部分に何を入れれば良いのかわからずかなり悩んだ。結果としてADに参加しているPCにて、下記のコマンドを実行すると、
gpresult /R
下記の通り、"CN= ,OU= ,OU= ,DC= DC= ,DC= "の部分に入力するべき内容が表示できることが判明した。
上記の通り、サンプルコマンドに"CN= ,OU= ,OU= ,DC= DC= ,DC= "の部分を貼り付ければコマンド実行可能。
◇コマンドラインから権限を付与(グループに所属)したい
例えば、user1にadministrators権限を付与したい場合は、そのサーバにログインして下記コマンドで実行する。
net localgroup administrators user1 /add