初めに
今回の記事では、
Active Directoryについてほかの記事を読んでもあまり理解できない方向けの内容になります。
ケルベロス認証やフォレストなど関連用語は沢山出てくれるけど、いまいち理解できた気がしない。。。と不満が溜まっている方向けにポイントを絞って説明していきたいと思います。
1つずつ押さえて行きましょう!
Active Directoryとは
Active Directoryを1言で表すと下記の通りになります。
Microsoftが提供する認証と認可を行うサービス
認証と認可はこの後説明しますが、重要なのはMicrosoft社が提供しているサービスの名称です。
認証
本当に正しいユーザーであるかを確認するプロセスのことを指します。皆さんが普段使うwebサービスでもメールアドレスとパスワードを入力してサービスに入りますよね。
この過程が認証になります。windowsの認証画面はおなじみの下記画面になります。正しい情報を入力したら、デスクトップの画面に入れるようになります。
認可
適切な許可を与えることです。
Active Directoryは具体的に何を提供するのか
Active Direcotryを導入することで、windows PCを利用するユーザーをまとめて管理することが可能になります。これから学習する方は、よく「ユーザーを一元管理する」と表現したりもするので併せて覚えていただけると嬉しいです。
一般的なご家庭は自分が使うアカウントは自分で管理する程度で問題ありません。企業の場合はそうもいきません。個人でアカウント管理をさせるのはセキュリティのリスクが高くなります。ましてや、従業員数が何百人にもなる企業はなおさらです。
例で言えばいろいろありますが、パッと思いつくだけども下記がリスクとして挙げられます。
- パスワードを忘れた際にログインできなくなる。
- PCを紛失した場合、PCに不正にログインされる可能性がある
- ファイル共有に対して、アクセス件の管理が難しい
- 使用しなくなったPCの再利用が難しい
個人のPCでは、自己責任で済みますが、例えば、お客様の重要な書類などが格納されたPCのパスワードを忘れたなどがあったら、もう最悪ですよね。
Active Directoryの重要単語
ドメイン
OUとセキュリティグループ
グループポリシー
Active Directoryの構築
Winodws Server 2022の仮想環境を構築できた状態を前提に進めていきます。
windowsサーバーを構築する方法がそもそもわからない方向けに期間限定になりますが無料で構築する方法をご紹介します。こちら記事をお読みください。
やるときは会社のPCではなく、個人でご利用のPCでサーバーは構築してくださいね。
Active Directory ドメイン サービスのインストールまで
winodows server2022を立ち上げると最初にサーバーマネージャーが表示されると思います。
サーバーマネージャーとは、winodows serverを管理すための操作画面になります。この画面でwinodows serverを一元的に管理します。
この画面が立ち上がりましたら、まずは右上の管理(M)をクリックしてください。
右上の拡大図を下に載せておきます。
そうすると、管理(M)の下に5個候補が出てきます。
その中の役割と機能の追加を選択してください。
そうすると、役割と機能の追加ウィザードが表示されます。
開始する前にの画面が表示されましたら、内容を確認して
次へ(N)をクリック。
ちなみにウィザードについて少し補足しておきます。
ウィザードとはソフトをPCにインストールする際に初心者でも分かりやすいように「はい or いいえ」で設定を進めてくれるインストール方法になります。
話は戻りまして、以下を確認し次へ(N)をクリック。
・サーバープールからサーバーを選択が選択されているか。
・選択されているPC名が合っているか。(確認法は下に記載します)
機能の追加をクリック。
サーバーの役割を選択が表示されます。
役割の中のActive Directoryドメインサービスのチェックボックスにチェックを入れます。
そして、次へ(N)をクリック。
機能の追加で.NET Framework 4.8 Featuresのチェックボックスに■が入っているか確認。
入っていなかった場合、選択してください。選択できたら、次へ(N)をクリック。
Active Directoryドメインサービスの画面が表示されたら、内容を確認して、次へ(N)をクリック。
インストールオプションの確認の画面が表示されたら、必要に応じて対象サーバーを自動的に再起動するのチェックボックスにチェックを入れる。
チェックを入れる際に以下画面が表示されるので、はい(Y)をクリック。
そうすると、チェックボックスにチェックが入ってくれます!内容を確認してインストール(I)をクリック。
あとは待ちます!!!
下記画像のようにインストールが問題なく終わったら、閉じるをクリック。
ドメインコントローラーの昇格まで
サーバーマネージャーの画面に戻ってきます。この画面の右上を注目してください。
なんか、警告マークがでていますね。
上記手順で行ったのはあくまでもPCにActive Directoryドメインサービスの機能を追加しただけで、この状態ではサービスを使うことはできません。
これは、サービスを使用に当たって管理する大元のPCがいないため、エラーが表示されます。
このエラーを解消する為にフラグのマークをクリックしてください。そうすると、このサーバーをドメインコントローラーに昇格するがクリックできるので、クリックしてください。
そうすると、以下画面のように配置構成が表示されるので、新しいフォレストを追加するをクリックして、
ルートドメイン名を決めます。
ドメインとは、簡単に説明するとこれからActive Directoryドメインサービスを開始するにあたり、管理する際の範囲を示す言葉になります。
ドメイン名は基本的に、○○.comや○○.jp、〇〇.co.jp、○○.localのような表記になります。
よくドメインの説明がされる際の「IPアドレスを人間が分かりやすくするために文字列に変換したもの」とは少し毛色が違いますので、ご注意を。
以上を踏まえて、あなたがお好きなドメイン名をルートドメイン名に入力してください。後の回にドメイン参加を説明するため、それを踏まえると短い名前の方が作業の負担は減ります(笑)
筆者は最近、猫カフェに行ったこともあり、cat.jpでルートドメイン名は決めました。
※ドメイン参加は作業する回の時に説明します。どうしても我慢できない方は以下リンクからご参照ください。
フォレスト機能レベルをWinodws Server 2016に選択します。
※筆者がActive Directoryを構築する際は一番新しいバージョンがWinodws Server 2016でしたが、これ以上新しいバージョンがあったら、そちらに合わせるのがいいとは思います。
ディレクトリサービス復元モードのパスワードを設定するため、パスワードを作成して入力してください。
ある程度の複雑性(大文字、小文字、数字、記号が1つ含まれている、パスワードが短すぎない)が必要ですのでご注意ください。
入力したら、次へ(N)をクリック。
エラーは表示されていますが、このまま次へをクリック。
以下はエラーの詳細になります。
少し待つとNetBIOS名が、先ほど入力したルートドメイン名を大文字で表記したものになります。
確認出来たら、そのまま次へ(N)をクリック。
パスの画面が表示されましたら、そのまま次へ(N)をクリック。
最後にオプションの確認画面が表示されるため、問題なければ次へ(N)をクリック。
すべての前提条件のチェックに合格しましたとチェックマークで表記されていたら、インストール(I)をクリック。この部分でインストールがクリックできない場合、それよりも前の設定で条件が基準に満たしていない可能性があるため、再度見直してください。
あとはインストールされるのを待ちます。
そうするとサインアウトが促されるため、サインアウトし再度入りなおしてください。
再度サーバーマネージャーを開き、最初のフラグマークに警告マークが消えていれば、Active Directoryの構築は完了になります。
最後に
Active Directoryでは認証にケルベロス認証を用いています。認証についてさらに理解を深めたい方は下記記事も読んでいただけると理解が深ります。
コメント