作業環境
- AD サーバ
- Windows Server 2019 Standard
- 端末
- Windows 10 Enterprise
Active Directory のインストール
サーバーマネージャにて [管理] → [役割と機能の追加] を選択します。
以下画面では [次へ] をクリックします。
以下画面では [次へ] をクリックします。
以下画面では [次へ] をクリックします。
以下画面では [Active Directory ドメインサービス] のチェックボックスをクリックします。
以下画面では [機能の追加] をクリックします。
以下画面では [Active Directory ドメインサービス] にチェックが入っていることを確認して [次へ] をクリックします。
以下画面では [次へ] をクリックします。
以下画面では [次へ] をクリックします。
以下画面では [インストール] をクリックします。
以下画面になるためインストール完了を待ちます。
以下画面になったら [このサーバーをドメインコントローラーに昇格する] をクリックします。
以下画面では [新しいフォレストを追加する] を選択し、ルートドメイン名として任意のドメイン名を入力し、 [次へ] をクリックします。
以下画面ではパスワード欄に任意のパスワードを入力し、その他は以下画面の通り(デフォルト)のままとし、 [次へ] をクリックします。
以下画面では [次へ] をクリックします。
以下画面では NetBIOS ドメイン名欄に任意の文字列を入力し、 [次へ] をクリックします。
以下画面では各種ファイル保存フォルダを指定し、 [次へ] をクリックします。以下画面ではデフォルトのままとしています。
以下画面では [次へ] をクリックします。
以下画面では前提条件のチェックで、すべての前提条件のチェックに合格したことを確認し、 [インストール] をクリックします。
インストールが開始されるため完了を待ちます。
インストールが完了すると自動で再起動されます。
再起動後、ログイン画面で以下の様に [<NetBIOS ドメイン名>\ユーザ名] が表示されていることを確認し、ログインします。
サーバーマネージャーの左側リストに [AD DS] と [DNS] が追加されていることを確認します。
AD サーバの確認
[AD DS] をクリックし、右側のサーバーリストに AD サーバのホスト名等が表示されていることを確認します。
右側のサーバーリストのレコード上で右クリックし、[Active Directory ユーザーとコンピューター] をクリックします。
以下の画面が表示されます。左側ツリーにて、ドメイン配下の [Domain Controllers] をクリックし、右側のリストに ADサーバ が表示されていることを確認します。
左側ツリーにて、ドメイン配下の [Computers] をクリックし、右側のリストに何も表示されないことを確認します。
左側ツリーにて、ドメイン配下の [Users] をクリックし、右側のリストにユーザーリストが表示されることを確認します。
DNS サーバの確認
サーバーマネージャーにて左側のリスト内の [DNS] をクリックし、右側のサーバーリストに AD サーバのホスト名等が表示されていることを確認します。
AD サーバのネットワークアダプタの設定にて、DNS サーバが 127.0.0.1(自分自身)となっていることを確認します。
DNS サーバの設定
サーバーマネージャーにて DNS 画面を表示し、サーバーリストのレコード上で右クリックし [DNS マネージャー] をクリックします。
以下画面が表示されます。
正引きゾーンについて
正引きゾーンは DNS マネージャー上では [前方参照ゾーン] と表示されます。AD で設定したドメインの正引きゾーンについては自動で作成されており、ドメイン参加した端末の正引きレコードもデフォルトでは自動で追加されます。
逆引きゾーンの作成
逆引きゾーンは必須ではありませんが、ここではAD サーバのセグメントについての逆引きゾーンを作成する例を記載します。。
DNS マネージャー左側のツリーの中の [逆引き参照ゾーン] 上で右クリックし [新しいゾーン] をクリックします。
以下画面では [次へ] をクリックします。
以下画面ではデフォルトのまま [次へ] をクリックします。
以下画面ではデフォルトのまま [次へ] をクリックします。
以下画面ではデフォルトのまま [次へ] をクリックします。
以下画面では追加する逆引きゾーンのセグメントを指定します。例では 10.1.10.0/24 (AD サーバのセグメント)について作成するため以下画像のように指定し、[次へ] をクリックします。
以下画面ではデフォルトのまま [次へ] をクリックします。
以下画面では [完了] をクリックします。
以下画面で逆引きゾーンが作成されたことを確認します。
次に AD サーバの逆引きレコードを作成します。
作成した逆引きゾーン上で右クリックし、[新しいポインター(PTR)]
以下画面では、[ホスト IP アドレス]として AD サーバの IPアドレスを、[ホスト名] として AD サーバのホスト名を入力し、[OK] をクリックします。
逆引きゾーンにレコードが追加されたことを確認します。
動作確認
nslookup でテストを行います。正引きと逆引きができることを確認します。
DNS フォワーダーの設定
DNS マネージャーの左側リストのサーバー名上で右クリックし、[プロパティ] をクリックします。
[フォワーダー] タブを選択し、[編集] をクリックします。以下右側の画面になるため、[ここをクリックして~] をクリックし、フォワーダーとなる DNS サーバの IP アドレスを入力します。
以下左画面のように設定できたら [OK] をクリックします。以下右画面にてフォワーダーが追加されたことを確認し [OK] をクリックします。
Active Directory へのユーザの追加
端末でログイン時に使用するユーザを AD サーバに追加します。
Active Directory ユーザとコンピューター画面にて、左リストの [User] 上で右クリックし、[新規作成] → [ユーザー] をクリックします。
以下画面となるため、任意の姓名、ユーザーログオン名を指定し [次へ] をクリックします。
以下画面ではログインパスワード、その他オプションを指定して [次へ] をクリックします。例ではオプションとしてパスワードを無期限にします。
ユーザが追加されたことを確認します。
セキュリティグループの作成とユーザのグループ設定
Users フォルダ上で右クリックし、[新規作成] → [グループ] と選択します。
以下画面が表示されるため、グループ名を入力、グループのスコープでは [グローバル] を選択、グループの種類は [セキュリティ] を選択し [OK] をクリックします。
Users フォルダ配下にセキュリティグループが作成されたことを確認します。
次にセキュリティグループに所属させたいユーザのプロパティを開き、[所属するグループ] タブにて [追加] をクリックします。
以下画面では [選択するオブジェクト名を入力してください] 欄に、所属先グループ名を入力し [名前の確認] をクリックします。グループ名の入力が不完全な名前だった場合でも [名前の確認] をクリックすると正確な名前に保管されます。その後 [OK] をクリックします。
以下画面に戻るため、[所属するグループ] 欄に対象グループが表示されていることを確認します。
セキュリティグループのプロパティの [メンバー] タブでも所属するユーザを確認することができます。
以上でグループ設定は完了です。
ユーザの属性一覧の確認
PowerShell のコマンドで確認します。
Get-ADUser -Filter { SamAccountName -eq "<ユーザ名>" } -Properties *
PS C:\Users\Administrator> Get-ADUser -Filter { SamAccountName -eq "testuser01" } -Properties *
AccountExpirationDate :
accountExpires : 9223372036854775807
AccountLockoutTime :
AccountNotDelegated : False
AllowReversiblePasswordEncryption : False
AuthenticationPolicy : {}
AuthenticationPolicySilo : {}
BadLogonCount : 0
badPasswordTime : 0
badPwdCount : 0
CannotChangePassword : False
CanonicalName : ad.hogepiyo.co.jp/Users/testuser01
Certificates : {}
City :
CN : testuser01
codePage : 0
Company :
CompoundIdentitySupported : {}
Country :
countryCode : 0
Created : 2021/01/10 16:00:28
createTimeStamp : 2021/01/10 16:00:28
Deleted :
Department :
Description :
DisplayName : testuser01
DistinguishedName : CN=testuser01,CN=Users,DC=ad,DC=hogepiyo,DC=co,DC=jp
Division :
DoesNotRequirePreAuth : False
dSCorePropagationData : {1601/01/01 9:00:00}
EmailAddress :
EmployeeID :
EmployeeNumber :
Enabled : True
Fax :
GivenName :
HomeDirectory :
HomedirRequired : False
HomeDrive :
HomePage :
HomePhone :
Initials :
instanceType : 4
isDeleted :
KerberosEncryptionType : {}
LastBadPasswordAttempt :
LastKnownParent :
lastLogoff : 0
lastLogon : 132547469047945535
LastLogonDate : 2021/01/10 16:07:12
lastLogonTimestamp : 132547360322077495
LockedOut : False
logonCount : 9
LogonWorkstations :
Manager :
MemberOf : {CN=TestGroup01,CN=Users,DC=ad,DC=hogepiyo,DC=co,DC=jp}
MNSLogonAccount : False
MobilePhone :
Modified : 2021/01/10 16:07:12
modifyTimeStamp : 2021/01/10 16:07:12
msDS-User-Account-Control-Computed : 0
Name : testuser01
nTSecurityDescriptor : System.DirectoryServices.ActiveDirectorySecurity
ObjectCategory : CN=Person,CN=Schema,CN=Configuration,DC=ad,DC=hogepiyo,DC=co,DC=jp
ObjectClass : user
ObjectGUID : 17844764-31ae-4520-b4fc-8133507a454a
objectSid : S-1-5-21-719404396-2992210836-452933958-1103
Office :
OfficePhone :
Organization :
OtherName :
PasswordExpired : False
PasswordLastSet : 2021/01/10 16:00:28
PasswordNeverExpires : True
PasswordNotRequired : False
POBox :
PostalCode :
PrimaryGroup : CN=Domain Users,CN=Users,DC=ad,DC=hogepiyo,DC=co,DC=jp
primaryGroupID : 513
PrincipalsAllowedToDelegateToAccount : {}
ProfilePath :
ProtectedFromAccidentalDeletion : False
pwdLastSet : 132547356287382098
SamAccountName : testuser01
sAMAccountType : 805306368
ScriptPath :
sDRightsEffective : 15
ServicePrincipalNames : {}
SID : S-1-5-21-719404396-2992210836-452933958-1103
SIDHistory : {}
SmartcardLogonRequired : False
sn : testuser01
State :
StreetAddress :
Surname : testuser01
Title :
TrustedForDelegation : False
TrustedToAuthForDelegation : False
UseDESKeyOnly : False
userAccountControl : 66048
userCertificate : {}
UserPrincipalName : testuser01@ad.hogepiyo.co.jp
uSNChanged : 16446
uSNCreated : 16425
whenChanged : 2021/01/10 16:07:12
whenCreated : 2021/01/10 16:00:28
端末のドメイン参加
端末側の設定
まず端末で使用する DNS サーバを AD サーバと設定します。
次にドメイン設定を行います。
コントロールパネルのシステム画面にて、[設定の変更] をクリックします。
以下画面では [変更] をクリックします。
以下画面では [ドメイン] を選択し、参加先のドメインを入力し [OK] をクリックします。
以下画面では、AD サーバにてあらかじめ作成した、この端末用のユーザ名とパスワードを入力し [OK] をクリックします。
以下画面が表示されることを確認します。
この後は再起動が必要となります。
再起動後、[他のユーザ] を選択し、ユーザ名を [<NetBIOS ドメイン名>\<ADで作成したユーザ名>] としてログインします。
ログイン後、コントロールパネルのシステム画面で、ドメイン欄に参加先ドメインが表示されていることを確認します。
AD サーバでの確認
[Active Directory ユーザーとコンピューター] 画面にて、[Computers] を選択し、リストに参加した端末のホスト名が表示されていることを確認します。
―――――――――――――