(前回記事「[レビュー]Hyper-V上のゲストOS(Windows Server)で AD DS 構築時の作業記録」の続きです。)
1.前提条件
・ドメインコントローラ(DC):固定IP(192.168.0.19)、Windows Server
・ドメイン名:zakku-spot.local(コメ昇格時のドメイン名設定)
・クライアントPC:192.168.0.8(Windows11)
・両社はネットワーク的に疎通可能(ping成功済み)
2.クライアントPCのDNS設定
次の手順でDNS設定を上記DCに向けます。
(1) [設定]→[ネットワークとインターネット]→[アダプターのオプションを変更]
(2) 使用中のネットワークアダプター上で右クリック→[プロパティ]
(3) 「□次のDNSサーバーのアドレスを使う」にチェックを入れ、次の様に設定
優先DNSサーバー: 192.168.0.10
代替DNSサーバー: (空欄で良い)
(5) 上記設定の確認
> nslookup ***.local
→ サーバー:192.168.0.10 と表示されればOK
3.ドメイン参加(作業用)
次の手順でドメイン参加(作業用)を行います。
(1) [スタート]→[設定]→[システム]→[バージョン情報]
(2) 「ドメインまたはワークグループ」横の[ドメインに参加]
(3) ドメイン名に ***.local を入力→[次へ]
(4) 「資格情報の入力」で、ドメイン管理者の情報を入力
ユーザー名: Administrator
パスワード: (DCのAdministratorパスワード)
(5) 「ようこそ ***.local ドメインへ」と表示されればOK
(6) 再起動します。
Administratorは「ドメイン参加作業」専用
- DCの Administrator はドメイン全体を管理できる最強アカウントです。
- 通常ユーザーがこの権限を持つと、サーバー設定変更やセキュリティ設定を壊すリスクがあります。
- そのため、実務では
- ドメイン参加作業
- サーバー管理作業
など、管理者だけが必要時に使用します。利用者には専用の「ドメインユーザーアカウント」を発行
- サーバー側(DC)で、利用者ごとにユーザーアカウントを作成
- そのユーザー名とパスワードを配布
- クライアントPCは、ドメインに参加した状態でそのユーザーでログイン
例:
- 利用者A →
a.suzuki@***.local- 利用者B →
b.tanaka@***.local
以降の作業で利用者用のアカウント作成等の作業を行います。
4.ユーザーアカウントとOUの作成(サーバー側)
(1) DC にドメイン管理者でログイン
(2) [サーバーマネージャー]→[ツール]→[Active Directory ユーザーとコンピューター]
(3) 左側のメニューで、ドメイン(***.local)を展開
(4) Users 上で右クリック→[新規作成]→[ユーザー]
(5) ユーザー情報を入力(例:taro.yamada)し、パスワードを設定
(6) 新しいOUを作る場合は、ドメイン名上で右クリック→[新規作成]→[組織単位]
OU を作成後、ユーザーやコンピュータをドラッグして移動可能
・・・いくつか作成
・・・作成したアカウントは、Users-OU に移動・・・
5.グループポリシー適用テスト
グループポリシーは、Windows環境の設定や動作を、集中管理して自動的に適用できる仕組みです。
Active Directory 環境では、ドメインに参加しているユーザーやコンピューターに対して一括で適用できます。設定できる内容は数千項目あり、セキュリティ設定からデスクトップの見た目まで広範囲に渡ります。
以下では、デスクトップ背景を変更するポリシーを設定します。
(1) DC で [ツール]→[グループポリシーの管理]
(2) ドメイン名(***.local)上で右クリック→[このドメインにGPOを作成してリンク]
(3) 名前を作成(例:Policy01)
(4) 作成したGPO上で右クリック→[編集]
(5) ポリシーを設定
例:デスクトップ背景を変更するポリシー設定
・[ユーザーの構成]→[ポリシー]→[管理用テンプレート]→[デスクトップ]→[デスクトップ]
・「デスクトップの壁紙」を有効にして画像パスを指定
(例: Z:\AD設定用\デスクトップ\壁紙)
※今回、クライアントPCに反映させたい壁紙
NASへの接続について
①ログオン時に明示的に認証する方法:
もし手元にあるNASに接続する際、多くの場合はNASへの認証情報を使用して、
> net use \\192.168.0.4\share “パスワード” /user: “ワークグループ“\“アカウント“
の様に、ログオンの度に、明示的に認証させれば、通常通りにNASを利用できます。②ログオン時に自動的に認証させる方法:
以下の2つ((A)ネットワークドライブ割り当て、(B)ログオンスクリプト)があります。
(A)ネットワークドライブ割り当て
(1) エクスプローラで「PC」上で右クリック→[ネットワークドライブの割り当て]
(2) ドライブ文字を選択(例:z: )
(3) フォルダにNASのパスを指定(例:\\192.168.0.4\share )
(4) 「異なる資格情報で接続する」にチェック後、
NASのユーザー名(例:yyyy\taro)・パスワードを入力
(5) 「サインイン時に再接続する」にチェック(B)ログオンスクリプト
(1) バッチファイル作成
例: ファイル名:NAS_START.bat
@echo off
net use Z: \\192.168.0.4\share “パスワード” /user: “ワークグループ\ユーザ名” /persistent:yes
(2) スタートアップに登録
win + R → shell:startup
↑出てきたフォルダに 上記バッチファイルを格納
(6) クライアントPC(192.168.0.8)で、次のコマンドを実行
> gpupdate /force
(7) ログオフまたは再起動し、ポリシーが反映されているか確認
↑ クライアントPCのログオン時、Server 側のGPOで設定した壁紙の反映を確認できました。
今回、AD DC へのドメイン参加時の作業記録は、ここ迄です。