最近AWS案件が減って、オンプレサーバ案件が増えたような...スキル向上のためAWS構築案件を切望しています笑。今回はクラウドでもオンプレでも共通するActiveDirectory(以下AD)について概念的な説明Part2を備忘録がてら記事にします。Part1はこちらにあるのでご参考までに。
そもそもADは何ができるのか?
簡単に言ってしまえば次の2点です。
- 社内PC設定の一括管理
- ログイン認証の管理
証明書発行管理やフェデレーション機能などもありますが一般的に利用される機能は先の機能を目的としているケースが多いです。設定の一括管理については以前にADの活用例でグループポリシー(以下GPO)を使った管理方法まとめました。このGPOを使って管理下のPCやユーザに対して設定を適用、ログイン認証認証設定、一括管理していくというのがAD運用の大きな目的です。
社内PC設定の一括管理
GPOはユーザやPCに対しての設定ルールの塊のことで、ユーザ、PCをグループ化して、そのグループ(OU)にGPOを適用することで個別設定の手間をかけずに管理することができます。
下記図で「PCグループ」は「OU」で、「RULEBOOK」が「GPO」に該当します。
次のようにOUを複数作成し、それぞれに違うGPOを適用することもできます。
OUはユーザ単位で登録されているものとコンピュータ単位のものがあります。適用するGPOがユーザについての制限なのか、コンピュータについての制限なのかで適用すべきOUが違ってきますので注意しましょう。
ログイン認証の管理
以下の図のようにPCにログインしてもよいのか(ちゃんとユーザDとPWを知っている人か)を確認・認証します。
ドメイン環境とワークグループ環境
PCがADで管理されている設定環境のことを「ドメイン環境」、逆に管理されていない環境のことを「ワークグループ環境」と言います。
ワークグループ環境では一括管理されていない=個別に設定する必要があるため、PCの台数が多い場合はかなりの労力が必要になります。
もしワークグループ環境で管理するPCが100台あった場合、管理者は100台全てに都度設定を入れていく必要があります。
ログイン認証の管理について、ワークグループ環境ではそれぞれのPCでログイン情報(≒ユーザ情報)を管理しています。そのため以下のようにPC毎にログインできるユーザが決まっています。
一方でドメイン環境はADがログイン情報(≒ユーザ情報)を管理しており、PC毎のユーザ管理ではないため同じドメイン環境のPCであれば、どのユーザ情報でもPCにログインできるようになります。PCの共有化のようなことができるようになります。
ただデスクトップのショートカットやアイコン設定などのユーザプロファイルはログインしたPCに作成されるので、どのPCにもログインはできますがデスクトップはPC毎に環境が異なります。
ドメイン環境にするには?
PCをドメイン環境に設定することを、一般的に「ドメイン参加」といいます。ドメイン参加の方法については他に
詳しいサイトがたくさんありますので簡単に触れるだけとします。
設定の流れとしては
- PCのDNS設定値をADサーバのIPアドレスに変える
- PCの「システムのプロパティ」から「所属グループ」を指定ドメイングループに変更する
- PCを再起動する
上記です。
よくあるトラブル
①. ドメイン参加したPCでログインしようとすると以下のようなエラーになる
【画像出典】https://ittrip.xyz/soft/windows/domain-unuse
【メッセージ内容】
ドメインが利用できないため、この資格情報ではサインインできません。デバイスが組織のネットワークに接続されていることを確認し、やり直してください。このデバイスで、別の資格情報を使用して最近ログインした場合は、その資格情報を使ってログオンすることができます。
状態としてはADサーバとPC間の疎通ができない状態です。疎通が取れないのでPCにログインしてもよいのか(ちゃんとユーザDとPWを知っている人か)を確認・認証ができない状態です。ADサーバとNWはつながっているか(Pingは通るか)、DNS設定値はADサーバのIPアドレスになっているかを確認しましょう。
キャッシュログオンについて
ADサーバと疎通が取れない状態=PCにログインできない状態となるとPCの社外持ち出し利用やオフライン作業をすることも出来なってしまいます。そのため1度でも当該PCからログイン認証をしたユーザならばしばらくはADで認証しなくてもPC側に残っている情報で認証して、ログインできるようにする設定があります。この設定をキャッシュログオンと言います。
【設定画面】
社外持ち出し利用やオフライン作業時にPCにログインできないという場合はまずキャッシュログオンできる状態なのかを確認しましょう。
②. IDとPWはあっているはずなのにログインできない
何かが間違っているからログインできないのです笑。本当にIDとPWが間違っていない場合はログインしようとしているユーザIDがドメインユーザなのか、ローカルユーザなのか確認しましょう。
PCにログインする際のユーザIDのところで「ドメイン名¥ユーザID」とすることでドメインユーザでログインできます。一方で「.(ドット)¥ユーザID」とすることでPCローカルのユーザでログインできます。
ドメインとPCローカルで同じユーザIDがある場合、どちらにログインしようとしているのかを確認しましょう。
おわりに
色々と間違っている部分もあるかもしれませんが、まぁ概念理解が目的なのでご容赦ください。何かあればコメントでご指摘いただけると幸いです。
ADの概念説明記事はこれで終了にしようと思います。ADは構築する機会がけっこうあるので次は小技・便利設定集的な記事にしようかな~。