はじめに
Azure上でADサーバ構築をする機会があったのですが、
ADサーバ自体の理解度が低かったので調べた際の備忘です。
構築手順などは一切なく、概念の理解が中心となります。
Active Directory
コンピュータ1台1台にユーザIDとパスワードを設定していくと、だんだん管理がめんどうになってきます。
例1:ID/PASSを変えたい時に対象のコンピュータ全台の設定を変える
例2:新人が来た時のIDを対象のコンピュータ全台にIDを追加する
そこで登場したのがActive Directory(以下AD)です。
Kerberos認証と呼ばれる認証方式で上記のめんどくささを解決してくれます。
例1:ADで設定を一元管理
例2:新人の情報をADに追加すれば他のコンピュータへの設定変更が不要
前提条件
以下のような環境が必要です。
-
AD用のサーバを1つ準備 ※WindowsServerさえあれば、あとは「サーバーマネージャー>管理>役割と機能の追加」より機能を追加すると使えます
AzureのVM上で機能を追加することも可能です -
管理したいコンピュータからアクセスできるネットワーク環境
用語
①ADサーバ
名称が非常に色々あります。
- AD
- ADDS
- ドメインコントローラー
- ドメコン
など。
ADの中にDNSの機能を持たせることができるため「DNSサーバ」と言う人もいるかもしれません。
②ドメイン
管理したいコンピュータとユーザ群のこととです
ドメインには名称があり、通常は「○○○○.com」や「○○○○.local」などになります。
※オンプレでドメインをたてる場合は名称に制限はありませんが、Azure上に立てる場合は「.local」などは使えないため名称に制限があります。
このドメインに参加することで、ドメインコントローラーが管理できるようになります。
③OU
ドメインに属しているユーザやコンピュータをグループわけすることができます。
その分けたグループのことをOUと言います。
例えば部署毎にOUを作ってあげたりします。
④ドメインツリー
ドメインが複数連なって、お互いの情報を連携させる仕組みがあります。
ドメインツリーはそういった連携させた状態を俯瞰して全ての連係情報のことを言います。
さらにドメインツリーが複数連携(信頼関係を結ぶ)とフォレストという名称になります。
細かい制御をするには
ADサーバの機能の一つに「グループポリシー」というものがあります。
例えば以下のような設定が可能です。
- 全ての端末のUSB使用禁止
- 全ての端末へ共有フォルダのマウント
- 全ての端末のデスクトップにショートカット配布
- 全ての端末のパスワードのポリシー設定(〇文字以上など)
「全ての」の記載していますが、グループポリシーは、コンピュータ、ドメイン、OUなどの単位ごとに適用できます。
また、グループポリシーの設定はコンピュータ用とユーザ用の大きく2種類に分かれており適切に適用してあげる必要があります。
公式ドキュメントは下記あたりです