Azure ADDSとAADと管理サーバの関連性

この記事ではAADDSとADと管理サーバの関連性(ロジック)の部分をお話します。

AADDS(現在Microsoft Entra Domain Services)とは、ドメインサービスを提供するサービスです。
AD(Microsoft Entra ID)とは、データに接続するクラウド ID およびアクセス管理するサービスです。
管理サーバとは、AADDSに対し書き込みを行ったり管理するためのサーバ(VM)になります。

個々のサービスのイメージができたとこでどのように使用されているのか説明していきます。
AADDSで(test.com)のドメインを作成し管理しているとします。
しかしAADDS単体で設定できる事には限度があります。
そのため、管理サーバ(VM)を利用しAADDSなどに色々な設定を盛り込むことができます。

例えば、GPOなどをドメイン参加しているユーザーに与えたいなどの要件があった場合、管理サーバで行うことが可能です。

AADDS(test.com)のドメインに管理サーバ(VM)を参加させます。
注意する点は、管理サーバ(VM)にログインしているローカル管理者はドメイン参加していないということに注意してください。今回参加しているのはあくまで、管理サーバ(VM)：コンピューターが参加しています。
そのため、ドメインの情報をローカル管理者ではできません。

じゃあ、どのアカウントでログインするの？って話だと思いますが。ここで登場するのがADです。
AADDSとADは同期することができます。AADDSで指定したADのグループを同期させることで、同期されたグループに所属しているユーザは(test.com)のドメインに参加していることになります。
こういったドメインの参加が楽なのもAADDSやADの魅力ですね。

話は戻りますが、管理サーバでAADDSと同期しているADグループに所属しているユーザを管理サーバログイン時に指定することでログイン可能になります。
これで、実際に管理サーバの「ユーザとコンピューター」でドメインに参加しているユーザーとコンピューターの確認ができます。
つまりOUの作成やGPOをかけることも可能になったことになります。

総括として、ADとAADDSは同期されています。しかし管理サーバは同期されてるわけではないので注意してください。見え方としては同期しているように見えますが、あくまで管理サーバはドメインに参加しているコンピューターという立ち位置で、AADDSの情報を引っ張ってきてそれに変更や書き込みを行うためのサーバなので、エラーがあった際などの切り分けで注意してください