こうして構築した直後のドメインコントローラには、Administratorなどのデフォルトで作成されるユーザーしか登録されていません。このため、追加のユーザーを次の手順で登録します。
1. Administratorとしてサインインし、サーバーマネージャーを起動します。
2. [ツール]−[Active Directory管理センター]を選択します。
3. [edifist(ローカル)]―[Users](注7)―[新規]―[ユーザー]を選択します。
注7:Usersというのは、Active Directoryをインストールすると自動的に作成されるコンテナです。コンテナとは、Active Directoryのオブジェクトを分類するための入れ物のことで、Usersはユーザーアカウントを保存する場所として使われています。
4. 以下の情報を参考に、ユーザーを作成します。ここでは、次のように入力し、[OK]をクリックします。
項目 | 入力内容 |
---|---|
フリガナ(姓) | ヤマダ |
姓 | 山田 |
フリガナ(名) | タロウ |
名 | 太郎 |
ユーザーUPNログオン | tyamada@edifist.co.jp |
ユーザーSAMアカウント名ログオン | edifist\tyamada |
パスワード | P@ssw0rd(P(大文字)、@(記号)、0(数字)の組み合わせ)。Active Directoryのデフォルトでは、大文字、小文字、数字、記号のうち3種類を使用した、7文字以上のパスワードを設定する必要があります。 |
パスワードのオプション | その他のパスワードオプション |
上記以外のその他のオプションの入力については任意とします。なお、Active Directoryでは、ユーザーのログオンに使用する名前とパスワード、フルネーム以外の項目はオプションですが、設定しておくと管理者やユーザーがActive Directoryの検索時に検索条件として使用できるため便利です。
上の画面の(1)〜(3)で示した入力項目は、それぞれ以下の内容を示しています。
(1)UPN(User Principal Name)は、Active Directoryがサポートしているユーザーログオン名で「ユーザー名@Active Directoryドメイン名」の形式で表されます。
(2)ユーザーSAMアカウント名は、Active Directory以前からサポートされている形式のログオン名で、「ドメイン名\ユーザー名」の形式で表されます。
(3)デフォルトでは[ユーザーは次回ログオン時にパスワード変更が必要]が選択されています。これは、ユーザーがこのアカウントを使って最初にログオンしたタイミングで、現在のAdministratorが設定したパスワードから、そのユーザーにしか分からないパスワードに変更させるためのオプションです。通常はこのオプションを選択しますが、本稿ではここで作成したユーザーアカウントを使ってコンピュータをドメインに参加させるため、デフォルト設定を変更しています。
次に、ドメインにWindowsコンピュータを参加させます。説明をスキップして構築方法を確認する場合は、「Windowsコンピュータをドメインに参加させる」まで読み飛ばしてください。
ドメインコントローラが「Active Directoryドメインを主催しているコンピュータ」だとすれば、それ以外のWindowsサーバやWindowsクライアントは「ドメインに参加しているコンピュータ」と位置付けることができます。Windowsでは、ドメインに参加するサーバをメンバーサーバと呼んでいます。
Active Directoryドメインのメンバーサーバやクライアントは、「ドメインに参加する」設定を行います。Active Directoryドメインに参加すると、Active Directoryドメインのユーザーアカウントで認証されるようになり、グループポリシー(注8)などの便利な機能も利用できるようになります。
Active Directoryドメインに参加させるのは、ドメインに参加するコンピュータと、ドメインコントローラとの間の通信を保護するために、「セキュアチャネル」を使用するためです。
セキュアチャネルとは、ドメインコントローラとドメインに参加するコンピュータとの間の暗号化された安全な通信のことです。例えば、ログオン時や、他のサーバへのアクセス時などにやり取りされる認証情報などは、セキュアチャネルによって安全な状態で送受信されます。
このため、Active Directoryドメイン環境を構築したら、他のWindowsコンピュータはすべてドメインに参加するための設定を行うようにしましょう。
注8:グループポリシーとは、Active Directoryの便利な機能の1つで、ドメインに参加するコンピュータやサーバ、ユーザーに対して、OSやアプリケーションのさまざまな設定を強制的に適用したり、アプリケーションの自動インストールなどを行うための機能の名称です。
WindowsサーバやクライアントをActive Directoryドメインに参加させるには、次の手順を実行します。
1. ドメインに参加させる前の状態のコンピュータにサインインします。コンピュータはインストール後、次の設定が行われており、ドメインコントローラと通信可能な状態(注9)にあるとします。
設定項目 | 設定内容 | |
---|---|---|
コンピュータ名: | server001 | client01 |
IPアドレス: | 10.1.2.101 | 10.1.1.1 |
サブネットマスク: | 255.255.255.0 | 255.255.255.0 |
デフォルトゲートウェイ: | 10.1.2.254 | 10.1.1.254 |
優先DNSサーバ | 10.1.2.100 | 10.1.2.100 |
注9:Windows間でpingによる疎通確認を行う場合、Windowsファイアウォール機能によってpingのICMPメッセージが拒否されている場合があるため注意してください。
pingに失敗する場合は、配線や各コンピュータのIPアドレス設定だけでなく、pingの宛先側のコンピュータで管理ツール[セキュリティが強化されたWindowsファイアウォール]を起動し、[受信の規則]にある[ファイルとプリンターの共有(エコー要求−ICMP4受信)]が有効化されていることを確認してください(ルールを右クリックし、[規則の有効化]を選択すると有効化できます)。
2. サーバマネージャーを起動し、[ローカルサーバー]を選択し、現在の構成を確認後、[ワークグループ]の「WORKGROUP」をクリックします(注10)。
注10:Windows 8の場合は、[コントロールパネル]−[システムとセキュリティ]−[システム]−[設定の変更]の順に選択します。
3. [変更]をクリックします。
4. [ドメイン]をオンにし、参加先のActive Directoryドメイン名を入力後、[OK]をクリックします。
5. ドメインのユーザーログオン名とパスワードの入力を要求するウインドウが表示されるため、前の手順で作成した、ユーザーのログオン名とパスワードを入力し[OK]をクリックします。
6. ドメインへの参加が成功すると、以下のようなメッセージが表示されるため[OK]をクリックします。
7. ドメインへの参加を完了するには、再起動が必要であることを通知するメッセージが表示されるため、[OK]をクリックします。
8. [フルコンピューター名]が、「ホスト名.ドメイン名」という形式(ここでは「server001.edifist.co.jp」)に変更されていることを確認し、[閉じる]をクリックします。
9. メッセージに従い、[今すぐ再起動する]をクリックします。
10. 再起動後、[Ctrl]+[Alt]+[Delete]キーを押すと、次のようなサインイン画面が表示されます。
デフォルトでは、サーバのローカルに登録されているユーザーとしてログインするようにユーザー名が指定されているため、[←]をクリックして別のユーザーとしてログインします。
11. [他のユーザー]をクリックします。
12. Active Directoryドメインに登録されているユーザーのログオン名とパスワードを指定します。
以上で環境の構築は終了です。
次回は今回作成した環境を基に、ネットワークデバイスの管理用パスワードをActive Directoryで集中管理するための設定を行います。
山口 希美(やまぐち きみ)
ITインストラクター
エディフィストラーニング(旧社名NRIラーニングネットワーク)で、ネットワーク関連コース全般の企画・開発・実施、および書籍の執筆などを担当。同社で「理論と実装をバランスよく」をモットーに、実機演習中心のトレーニングを実施中。分かりやすさには定評がある。
Copyright © ITmedia, Inc. All Rights Reserved.