active directoryドメインを作ってみよう...
DESCRIPTION
Create user/group/computer objects and configure group plicy(for users).TRANSCRIPT
![Page 1: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/1.jpg)
Active Directory ドメインを作ってみよう
その 2 :ユーザーやグループの作成と PC のドメイン参加
小山 三智男mitchin
Microsoft MVP for Directory Services
![Page 2: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/2.jpg)
2
Active Directory ドメイン構造
フォレスト
ドメインツリー
ドメイン
test.local
ドメイン
west.test.local
ドメイン
east.test.local
ドメインツリー
ドメイン
test2.local
ドメイン
sub.test2.local
![Page 3: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/3.jpg)
3
Active Directory サイト構造
サイト
DC1
TokyoSite
DC2
DC3
サイト内複製
サイト内複製
サイト
DC5
OsakaSite
DC4
サイト内複製サイト間複製
サイトリンクサブネット192.168.0.0/24192.168.1.0/24192.168.2.0/24
サブネット172.16.0.0/24172.16.1.0/24
Tokyo-OsakaLink
![Page 4: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/4.jpg)
4
ドメインの作成・設定手順
ドメインコントローラーを作成してドメインを作成• TCP/IP の設定• Active Directory ドメイン サービス( AD DS )と DNS
サーバーのインストール• ドメインコントローラーへの昇格• DNS サーバーの設定• タイムサーバーの設定(推奨)• 組織単位( OU )、グループ、ユーザーなどの作成• コンピューターをドメインに参加• グループポリシーの設定(ユーザー用をちょっとだけ)
ドメインコントローラーを追加• サイトの設定(サブネットの追加)
![Page 5: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/5.jpg)
5
管理ツール
「 Active Directory ユーザーとコンピューター」を起動 ※ サーバー マネージャーでもできます
![Page 6: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/6.jpg)
6
作成・管理するオブジェクト
一般的には次の 6 つのオブジェクトを作成・管理します。• ユーザー• グループ• コンピューター• 組織単位( OU)• プリンター• 共有フォルダー
![Page 7: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/7.jpg)
7
組織単位( OU )の作成
OU はファイルシステムでいうフォルダみたいなもので、ユーザーやグループ、コンピューターや OU を格納します。部署などの OU を作成して上記オブジェクトをまとめます。OU にはグループポリシーを設定(適用)できます。
削除されないようにするには「間違って削除されないようコンテナーを保護する」にチェックを入れます。
![Page 8: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/8.jpg)
8
グループの作成
グループは同じ部署やプロジェクトなどに所属するユーザーをまとめるために作成します。アクセス権の設定対象にするので グループの種類を「セキュリティ」にします。
![Page 9: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/9.jpg)
9
グループのスコープ
作成可能なグループのスコープは次の 3 つです。• ドメイン ローカル• グローバル• ユニバーサル
詳細は「 Active Directory Domain の Group 」を参照。http://www.slideshare.net/mitchin227/group-40422613
![Page 10: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/10.jpg)
10
ユーザーの作成
対象の OU に作成します。ユーザーは オブジェクトの中で最も多くのプロパティを持ちます。
![Page 11: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/11.jpg)
11
ユーザーの作成
パスワードを入力、オプションを選択します。作成後は所属するグループ、住所や電話、組織などのプロパティを設定します。
![Page 12: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/12.jpg)
12
コンピューターの作成
コンピューターを事前に作成する場合は、作成したい OU に作成します。コンピューター名を入力するだけです。
ドメイン参加時に自動的に作成することもできます。
![Page 13: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/13.jpg)
13
プリンターの作成
デバイスとプリンターで共有プリンターのプロパティから 共有タブの「ディレクトリに表示する」にチェックを入れることで自動的に作成されます。
詳細は「 Move the added printer to specific OU 」を参照。http://www.slideshare.net/mitchin227/move-printertoou
![Page 14: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/14.jpg)
14
共有フォルダの作成
名前とネットワーク パスを入力します。作成後はキーワードを設定します。
![Page 15: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/15.jpg)
15
コンピューターをドメインに参加
Windows 8 や Windows Server 2012 などの PC をドメインに参加させるとその PC はドメインのメンバーになり、ユーザーはその PC からドメインにログオンできるようになります。※ ログオンする権利があれば です。ドメインに参加させるにはドメインコントローラーと通信できないといけないので、 TCP/IP の設定で優先 DNS サーバーのアドレスの欄にドメインコントローラーの IP アドレスを指定します。
ドメインへの参加はシステムのプロパティから行います。
![Page 16: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/16.jpg)
16
コンピューターをドメインに参加
「変更」ボタンをクリック。
![Page 17: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/17.jpg)
17
コンピューターをドメインに参加
「ドメイン」を選択しドメイン名を入力して「 OK 」ボタンをクリック。
![Page 18: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/18.jpg)
18
コンピューターをドメインに参加
ドメインの管理者のアカウントとパスワードを入力して「 OK 」ボタンをクリック。ようこそダイアログがでれば参加 OK になったので、後は「 OK 」ボタンをクリックしていって再起動します。
![Page 19: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/19.jpg)
19
ドメイン参加後
フル コンピューター名にはドメイン名が付加され、ワークグループからドメインに変わりました。
![Page 20: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/20.jpg)
20
ドメイン参加後の PC のローカルグループ
Administrators グループのメンバーに Domain Admins グループが追加され、 Users グループのメンバーに Domain Users グループが追加されました。
![Page 21: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/21.jpg)
21
ユーザー用のグループポリシーの設定
管理ツール「グループ ポリシーの管理」で Default Domain Policy を編集します。
![Page 22: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/22.jpg)
22
パスワードのポリシーの設定
「コンピュータの構成」-「ポリシー」-「 Windows の設定」-「セキュリティの設定」 -「アカウント ポリシー」 -「パスワードのポリシー」を選択。
![Page 23: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/23.jpg)
23
パスワードのポリシーの設定
「パスワードの長さ」を設定。
![Page 24: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/24.jpg)
24
パスワードのポリシーの設定
「パスワードの変更禁止期間」を設定。
![Page 25: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/25.jpg)
25
パスワードのポリシーの設定
「パスワードの有効期間」を設定。
![Page 26: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/26.jpg)
26
パスワードのポリシーの設定
「パスワードの履歴を記録する」を設定。
![Page 27: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/27.jpg)
27
アカウント ロックアウトのポリシーの設定
「コンピュータの構成」-「ポリシー」-「 Windows の設定」-「セキュリティの設定」 -「アカウント ポリシー」 -「アカウント ロックアウトのポリシー」を選択。
![Page 28: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/28.jpg)
28
アカウント ロックアウトのポリシーの設定
「アカウントのロックアウトのしきい値」を設定。
![Page 29: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/29.jpg)
29
アカウント ロックアウトのポリシーの設定
「ロックアウト カウンターのリセット」を設定。
![Page 30: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/30.jpg)
30
アカウント ロックアウトのポリシーの設定
「ロックアウト期間」を設定。
![Page 31: Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~](https://reader035.vdocuments.mx/reader035/viewer/2022062405/5582ffd8d8b42a5b468b4664/html5/thumbnails/31.jpg)
31
詳細や関連情報はブログ等で
Active Directory ドメインを作ってみよう ~ドメインの作成と DNS サーバーの設定~。http://www.slideshare.net/mitchin227/create-domain
グループのスコープと種類http://blogs.wankuma.com/mitchin/archive/2014/10/13/493201.aspx
ドメインに組織単位( OU )、グループ、ユーザーを作成http://blogs.wankuma.com/mitchin/archive/2014/05/19/331449.aspx
事前にコンピューターアカウントを作って その PC をドメインに参加http://blogs.wankuma.com/mitchin/archive/2014/05/20/331512.aspx
事前にコンピューターアカウントを作らないで PC をドメインに参加http://blogs.wankuma.com/mitchin/archive/2014/05/23/332085.aspx
追加したプリンタを特定の組織単位( OU )に配置するhttp://blogs.wankuma.com/mitchin/archive/2014/01/09/328337.aspx
Active Directory 関連ブログの一覧http://www.pbyk.com/blog/bloglist.html