Windows Server 2016 ActiveDirectoryの構築 〜ドメイン参加とユーザのログイン~

どうも、Miyaです。

ドメイン参加とは文字通り、コンピュータをWindowsドメインに参加させることを言い、ドメイン参加したコンピュータは、ドメインコントローラに格納されているユーザオブジェクトへのログインやアクセス権を付与する等のセキュリティ設定が利用できます。

作業の流れは、まずADのデータベースにユーザオブジェクトを作成してあげます。
次に、コンピュータをドメインに参加させ、作成したユーザオブジェクトに対してログインします。
企業にお勤めの方でWindows端末をお使いの方は大体ドメイン参加しているはずなので、ログイン形式がドメイン名¥ユーザ名になっていると思われます。

本記事では、実際にクライアント端末を用意してオブジェクトの作成~コンピュータのドメイン参加+ユーザのログインを行いたいと思います。

スポンサーリンク:

ADによるユーザオブジェクトの作成

まず、ユーザがドメインにログインするためにユーザオブジェクト作成しましょう。

ADではオブジェクトをコンテナーやOUという入れ物にまとめて管理することができます。
さらにはOUでは階層構造が実現できます。普段使用している”フォルダ”に似ていますよね。
設計の話になるのですが、地理、機能、リソース、部署やセキュリティレベル毎にOUを作成します。
図にするとこんな感じです。
OU 階層構造

[サーバマネージャ]の[ツール]から[Active Directory ユーザとコンピュータ]をクリックすると、下図のように入れ物が並んでますね。
ドメイン参加
上図はADを構築した際に作られるデフォルトの構造です。

  • Domain Controllers : DC用のコンピュータアカウントを格納
  • Compters : ドメインで作成されるコンピュータアカウントの規定格納場所
  • Users : ドメインで作成される新規ユーザおよびグループの規定格納場所
  • Builtin :  多数の規定グループを格納

[種類]を見てみると、OU以外にもコンテナという入れ物があります。
コンテナとは、Windows Serverによって作られるオブジェクトで、管理者が作成する場面はないかと思われます。
コンテナの特徴は、OUとは異なり階層構造が実現できません。
そのため、コンテナ内にUserやComputerオブジェクトは作成できても、OUは作成できません。

規定で作成されているコンテナーおよびOUに新規オブジェクトを作成すると、管理が煩雑になるので新規OUを作ります。
[contoso.com]を右クリックし、[新規作成]→[組織単位]をクリックします。適当な名前を付けてあげて下さい。
ドメイン参加

OUを作成し、右クリックからユーザオブジェクトを作成します。
名前を付けてあげたら、[次へ]をクリックします。
ドメイン参加

次にパスワードを設定してあげ、[次へ]をクリックします。
※チェック項目はお任せします。
ユーザオブジェクトの作成

最後に[完了]をクリックします。
これで、ユーザオブジェクトの作成作業は終了です。

ドメイン参加およびADへのログイン

さて、ADにユーザオブジェクトが作成されたので、実際にドメイン参加~ユーザログインをしてみましょう。
まず、端末の環境の準備として、DNSの向け先を変えてあげましょう。

クライアント端末のDNSサーバの変更

まず、ドメイン(contoso.com)に参加するには、そのゾーンをホストしたDNSに名前解決しなければなりません。
TCP/IPの設定からADのIPアドレスを指定します。
DNSの変更

クライアント端末のドメイン参加

まず、[システムのプロパティ]から[変更]をクリックします。
ドメイン参加

[所属するグループ]から[ドメイン]にドメイン名を入力し、[OK]をクリックします。
ドメイン参加
ちなみに、DNSを変更した理由はここにあります。
contoso.comを名前解決するために、contoso.comゾーンを持つDNSにクエリを投げる必要があります。
DNSの説明は長くなりそうなので、別途記事にしていきますね(´_ゝ`)笑

資格情報を求められるので、先ほど作成したオブジェクトのユーザ名およびパスワードを入力し[OK]をクリックします。
※ここは誰の資格情報でも構いません。Administratorとかでも可能です。
資格情報

再起動を求められるので、再起動しましょう。
ドメインへようこそ

ADから[ユーザとコンピュータ]を見てみると、CL01が追加されていると思います。
これで、CL01というコンピュータがドメインに参加したので、次はユーザオブジェクトへログインしてみましょう。
DNS

ADへのログイン

再起動後に、ログインしてみると、、、
[他のユーザ]が追加されているのがわかりますね。
ドメイン参加

[他のユーザ]からUser01でログインができますねー。

さて、これでクライアントコンピュータのドメイン参加が完了しました。
それでは、よきWindows Server ライフを♫

スポンサーリンク