🍣

進化する記事 Activedirectory 導入編

2023/06/14に公開

【Active directory】の構築を自宅で練習してみた。

用意したもの
・Virtualbox
・Windowsserver2019 ISO
・Windows10Pro ISO

やりたいこと
ホスト側
・Activedirectory環境の構築
・ドメインコントローラへの昇格
・ユーザ登録、OU活用など
・GPO活用
ゲスト側
・ドメイン参加
・AD環境下でのなにがし

はじめに
こちらの記事はActivedirectoryを過去に触ったことがなくこれから勉強を始める方向けの記事構成となってます。
筆者もまだIT業界にすら踏み込めておらず2023年5月末より勉強を始めたところですので完全自己満のアウトプット用の記事として執筆しています。

筆者について
30歳を目前に目標もなくただ漠然と毎日を過ごしていたがそろそろ何か手に職を。。と思った際、過去にバックパッカーでアメリカ横断をしていた際ドミトリーホテルで一緒だった子がPC一つで仕事をしながら世界を回っているという話を思い出しIT業界に興味を持つ。
現在進行形でSEへの転職活動を開始しております。

Activedirectoryについて
そもそもActivedirectoryってなんぞ?
ActiveなDirecto?よく分かりませんでしたが皆様の記事を参考に考えました。Activedirectoryとは【情報の一元管理】を行うシステムだと筆者なりにシンプルに考えました。
Activedirectory自体には5つほど代表的なサービスがあるそうですが筆者含め大体の方がActivedirectoryといえば【ADDS(ドメインサービス)】を指します。

1Activedirectory構築までの道のり

①Virtualboxのinstall
今回は勉強用に仮想化ソフトである【Virtualbox】を自身のPCへinstallを行いました。(下記のURLよりinstallできます。)https://www.virtualbox.org/

②Windows server2019,Windows10ProのISOをinstall
下記URLよりinstallできます。
https://www.microsoft.com/ja-jp/software-download/windows10
https://www.microsoft.com/ja-jp/evalcenter/download-windows-server-2019

Point!
1.ISOを選択
2.自身のPC環境へのinstallはNG
3.今回は勉強用なので筆者は評価版を選択しました。

③仮想マシン構築
先程installしたWindows10Pro、Windowsserver2019のISOを使用しvirtualbox上に2つのOS環境を構築します。
立ち上げに関してはこちらの記事を参照しました。
https://fullstacklife.net/it/install-win10-for-virtualbox/
同じ要領でWindowsserver2019もinstallを行いました。

Point!
1.Windows10の選択は必ず【Pro】を選択
2.Windowsserver2019については
Windows Server Standard
Windows Server Standard (デスクトップ エクスペリエンスあり)
Windows Server Datacenter
Windows Server Datacenter (デスクトップ エクスペリエンスあり)
が選択可能ですがGUIの使用があるので今回は【Windows Server Datacenter (デスクトップ エクスペリエンスあり)】を筆者は選択しました。
どうやらDatacenterはstandardの上位版との記載があったのでこちらを選択。
3.Windows10の【Home][Pro]の選択に関して、筆者は3台目の仮想マシン立ち上げ時にどちらかを選択することができず強制的にHomeになるというerrorが発生した。
こちらに関しては記事を読むと、USBに展開しコード書き足しで解決するみたいだが筆者はまだ試していないので今後、解決策が分かれば追記予定

④ひと休み
ここまでこれば一旦リラックスをしてもいいだろう。
瞑想してみたり趣味のカメラでストリートスナップ撮影してみたり、パートナーとわちゃわちゃしてみたりだとか。

⑤Activedirectory構築

Activedirectoryのセットアップに関しては下記の記事が丁寧にまとめられており分かりやすかったです。https://www.rem-system.com/win2016-adsetup/

下記の富士通さんがまとめているActivedirectoryの指南書にもある通り、構築前にまずはイメージを持つことが大切みたいです。今回は勉強用でまだ何ができるかよく分かりませんがとりあえず、【シンプル】に誰が見ても分かりやすく自分自身が振り返っても理解のできるように構築をしていきます。
https://jp.fujitsu.com/.../win2016-active-directory02.pdf
実際の作業となると一筋縄ではいかないこともあるかもしれませんが、今回は【シングルフォレスト、シングルドメイン】での構築を行っていきます。

【フォレスト】とは
ドメインツリーの集まりでActivedirectoryにおける最大の単位。
名前の通りドメインが木であればフォレストは森のイメージ

【ドメイン】
Activedirectoryの基本単位
ドメイン内の全てのサーバはドメイン内のリソースへのアクセス権がある。
フォレスト、ドメインに関してできるだけシンプルにするのが好ましいので基本的にはシングルフォレスト、シングルドメインを推薦。(実際に働いたらお客様によって変わるかもしれないが、構造はシングルフォレスト、シングルドメインが大半みたいだ。
ドメイン内では
・コンピュータ
・ユーザ
・グループ
・サービス
などの管理ができる。
尚、ドメイン内にOU(組織単位)というオブジェクトを作成することで管理しやすい単位で対応が可能です。

⑥DC(ドメインコントローラ)への昇格
先程の記事にも記載がありますがADのセットアップ後はPCをメインコントローラに昇格する必要がありますので先程の記事を参照に昇格をします。
https://www.rem-system.com/win2016-adsetup/
【DC(ドメインコントローラ)】
名前そのままドメインをコントロールするコンピュータを指す。
元締め的な非常に大切な役割(具体的にはユーザ認証やデータベースの保持)であることから1つのドメインに対して最低2台のDCは配置しておくこと。1台が停止した際にでもサービスを利用する為。
参照記事
https://www.rem-system.com/win2016-ad-add/

⑦クライアントPC(Windows10Pro)のドメイン参加
さて、①~⑥までの作業を終えたら次にクライアント側PCのドメイン参加を行います。この作業を行うことでドメインの管理下に置くことができるようになり信頼関係が発生し後述するグループポリシーなどの設定が効いてきます。
ドメイン参加の参照記事
https://milestone-of-se.nesuke.com/sv-advanced/activedirectory/join-to-domain/

Point!
1.DNSサーバをADに向けます。(クライアント側DNS照会先はADのIPアドレス)
AD側にて
windowsボタン+R→cmd→コマンドプロンプト呼び出し→ipconfig/allにてIPアドレスを確認
クライアント側
コントロールパネル→ネットワークとインターネット→ネットワークと共有センター→アダプターの設定変更→ネットワークを選択しプロパティ→インターネットプロトコルバージョン4→プロパティ→優先DNSサーバにAD側のIPアドレス入力

2.ファイアウォールを無効化
ファイアウォールは無効に設定しておきましょう。

3.ドメイン参加
コントロールパネル→システム→設定の変更→ドメイン参加→AD構築で決めたドメイン名を入力しok
作成後はAD側のドメイン内のコンテナ【コンピュータ】に反映されます。クライアント側は再起動後に【ドメイン名¥名前】を入力しドメインユーザにてログオンします。

1~3までがドメイン参加のざっくりとした流れですが筆者はDNSサーバやIPアドレスの意味が分かっておらず相当苦戦しました。。

今回、ドメイン参加後に起きたエラーを紹介します。
【キャッシュログオン】
ADにログオンしていたユーザはADに通信できていなくてもキャッシュでログオンできるというもの。クライアント側はキャッアユログオンしているのか全く分からないのが厄介なのである。筆者はこのせいで特定アカウントではログオンできたのだが、新規作成したユーザでログオンができず相当困りました。
まず原因の調べた方やキャッシュログオンにたどり着くまで苦労しました。泣きそうになりました。こちらについては自分ではどうしても分からず質問をし回答を得てやっと解決に至りました。。
上記のような現象が起きた場合はクライアント側のコマンドプロンプトにて【whoami /fqdn】を入力してみるとエラーが発生しているかどうかが分かります。
筆者のエラー原因はDNSが間違っていたことでした。。
PCを持ち運ぶのでネットワーク環境の変化でIPアドレスが変わる?のかこの辺りは後日勉強しますが再度AD側のIPアドレスを入力し再度ログオンし直すと通常にログオンが出来ました。
(キャッシュログオンはGPOにて制御できるみたいですが通常の企業では全社員が使用できなくなる可能性がある為、基本的にはキャッシュログオンはONにしているみたいです)

①~⑦までで一通り最低限の設定が完了し、現在筆者が学んだ大体の事が終了しました。⑧からは追記という形で執筆していきます。
Activedirectoryの理解をより深めるよう、先輩方からのご指摘やアドバイスもお待ちしております。

2ADDS

①Activedirectory ユーザとコンピュータ

AD構築後メインで使うことになるのが【Activedirectory ユーザとコンピュータ】ではないでしょうか。ここでは名の通り、ユーザやコンピュータの管理を行う。

フォレストの構造
【フォレスト】がありその中に【ドメイン】がありその中に【コンテナ】がある。
コンテナ内には【コンピュータ】や【ユーザ】などがあります。
必要に応じてOUを増やし企業であれば部署ごとなどの管理が可能となります。
【OU】や【ユーザ】の新規作成は右クリック→新規作成→選択
で作成が可能です。

OUについて
OUを作成することでオブジェクトを管理することが出来ます。
OUは階層化が可能なので下位OUには多くのGPOが適応され結果的に性能劣化につながる可能性もある為、事前のOU構成が重要です。
また、管理の委任はグループ単位が推薦されています。

ユーザの新規作成
先程述べた通りの方法でユーザの新規作成を行うことができます。
作成したユーザはドメイン参加しているクライアントPCであればどこからでもログオンできるようになります。

②サイトとサービス
サイトとは組織内のネットワークを示すオブジェクトであり具体的には複製間隔を短縮したり、複製データを圧縮したりできる。基本的には拠点ごとに1サイトの作成を行う。
参照動画https://youtu.be/cFjXSCp7cXM
まだ筆者の方で理解が出来ていないのでまとめて執筆予定です。

③グループポリシーについて

グループポリシーを使用することで様々なオブジェクトを要件に応じて管理することが出来るようになります。グループポリシーはADDSの機能の名称であり機能実現をしているのが【GPO(グループポリシーオブジェクト)】です。

1.GPOでは

・コンピュータ
・ユーザ
の2つのカテゴリが存在しています。
GPOにはコンピュータ毎に設定を行う【ローカルGPO】があるがADのドメイン環境では【非ローカルGPO】いわゆるADドメインに作成されるGPOが設定を上書きする可能性があります。

2.【非ローカルGPO】について
こちらがADのドメイン環境で作成を行うGPOであり、ドメイン環境のコンピュータやユーザのポリシー設定を一元管理することができます。
Point!
GPOをサイトやドメイン、OUに関連付けることを【リンク】と呼び、GPOの設定を反映することを【適用】と呼ぶ。

3.GPOの作成方法について
【グループポリシーの管理】より【グループポリシーオブジェクト】を右クリックし【新規】を選択し任意の名前を入力し作成。

4.GPOの設定
GPOの設定を行うには3で作成したGPOを右クリックし【編集】を選択し要望に応じて設定を行う。
例えばユーザによるコントロールパネルへのアクセスを制限したり、システムログのサイズを設定したり多岐に渡り設定が可能みたいだ。(筆者もまだほとんど試せていない。。)

5.スターターGPOの作成
予め決めている規則に関しては【スターターGPO】として登録を行うことで繰り返し設定を行う必要がなくなります。

参考にした本 日経BP社 【Activedirectory windowsserver2016版】

Discussion