OUの作成やコンピュータの登録など、活用方法を見てみよう
Active Directoryの認証と承認の違いとは?
2010年04月20日 09時00分更新
コンピュータアカウントの作成
次にコンピュータアカウントを作成しよう。コンピュータアカウントは、Active Directoryの管理ツールで事前に作成しておく方法と、クライアントからの操作で自動作成する方法がある。OUを作成していない場合や自動作成する場合は、「Computersコンテナ」が利用される。なお、画面4でアイコンが微妙に違っていたことからわかるように、このComputersコンテナはOUではない。そのため、名前変更や削除はできないので注意しよう。
コンピュータアカウントは、Active Directoryデータベースの変更と、クライアントコンピュータでの作業の2つのステップに分けられる。ステップ1はActive Directoryデータベースの変更で、次の手順となる。
- 管理ツール「Active Directoryユーザーとコンピュータ」を起動
- ComputersコンテナまたはOUを右クリックし、「新規作成」-「コンピュータ」を選択(画面6)
- 「コンピュータ名」に、登録するクライアントコンピュータ名を指定し、[OK]をクリック(画面7)。このダイアログで「ユーザーまたはグループ」に指定されているユーザーまたはグループだけが、クライアントコンピュータをActive Directoryに参加する作業を実行できる
画面6●コンピュータオブジェクトを作成
画面7●登録するクライアントのコンピュータ名を入力。この段階では、まだ実際の登録は行なわれない
コンピュータアカウントの登録
続いて、ステップ2だ。ここでは、クライアントコンピュータ側で、Active Directoryにコンピュータアカウントを登録する作業を行なう。
- クライアントコンピュータにログオン
- コンピュータ名変更の画面を表示し、「コンピュータ名」タブで「変更」をクリックする(画面8)。この画面の表示は、Windows 2000では、コントロールパネルの「システム」から、Windows XPはコントロールパネルの「パフォーマンスとメンテナンス」-「システム」から行なう。Windows Vistaではメニューが複雑で、コントロールの「システムとメンテナンス」-「システム」から「コンピュータ名、ドメインおよびワークグループの構成」の「変更と設定」をクリックする
- ドメインを指定する(画面9)。ドメインコントローラがWindows Server 2008の場合、ドメイン名はDNS名でなければならない。そのほかの場合はNetBIOSドメイン名とDNS名のどちらでもよい
- ドメインの登録に使うユーザーのアカウント名とパスワードを入力(画面10)。ステップ1の作業を行なった場合、コンピュータアカウントを追加するときに指定したユーザーか、指定したグループに所属するユーザーのアカウント情報を指定する。ステップ1を省略した場合は、誰でもよいのでActive Directoryに登録されたユーザーのアカウント情報を指定する。ただし、非管理者が追加できるコンピュータアカウント数は最大10台である
- クライアントコンピュータを再起動
- ログオン画面が変わり、Ctrl-Alt-Delを押さないとログオン画面が表示されなくなる
画面8●Windows Vistaのシステムのプロパティ
画面9●「次のメンバ」の「ドメイン」を選び、登録するドメインの名前を入力
画面10●ドメインのユーザーを指定。画面7でコンピュータアカウントを作成している場合は、そのときに指定したグループのメンバまたはユーザーの必要がある
以上で、登録作業は完了だ。実は、ステップ1の作業は省略できる。この場合、Active Directoryに参加する作業に特別な管理権限は必要なく、Active Directoryドメインのユーザーであれば誰でもできる。セキュリティ面を考慮しないのであれば、クライアントコンピュータで作業するだけで十分だ。
なお、2段階に分けて登録するのは以下のような場合となる。
勝手にActive Directoryドメインに参加されたくない場合
コンピュータアカウントを事前に作っておけば、ドメインに参加できるのはDomain Adminsグループのメンバだけとなる(既定の場合)。必要ならグループを変更することもできる。ただし、既定の設定では、Windowsクライアントのコンピュータ名を変更してしまえば、事前に作成したコンピュータアカウントは参照されない。そのため、実際にはセキュリティ面での利点はあまりない。
適切なグループポリシーを割り当てたい場合
実際に多いのは、このパターンだ。グループポリシーは、ユーザーやコンピュータの構成を自動化する機能である(図3)。クライアント操作だけでActive Directoryドメインに参加した場合、コンピュータアカウントはOUではなくComputersコンテナに配置される。既定の場所を変更することもできるが、ドメイン単位で1カ所しか設定できない。
図3●コンピュータアカウントを事前に作成する場合としない場合の違い
一方OUは、グループポリシーを使ってコンピュータのセキュリティ構成などを自動設定するための単位でもある。営業部のコンピュータと開発部のコンピュータでは必要なセキュリティ構成も違うだろう。コンピュータアカウントを最初から適切なOUに配置しておけば、Active Directoryドメインに参加した直後からあらかじめ設定しておいたセキュリティ構成が行なわれる。
適切なグループポリシーの割り当てを応用することで、Active Directoryドメインに勝手に参加したコンピュータの機能を制限できる。まず、厳しいセキュリティ設定や機能制限を強制するようなグループポリシーを作成し、そのポリシーを特定のOUに割り当てる。次に、既定のコンピュータアカウントの作成場所を、そのOUに変更する。こうすれば、コンピュータアカウントを事前に作らずにActive Directoryドメインに参加したPCの機能が自動的に制限される。
OUの変更は、たとえばコンピュータアカウントの既定の場所をドメイン「example.com」のMy ComputersというOUに変更するには、リスト1のコマンドを実行する。このコマンドはドメインの機能レベルがWindows Server 2003以上で利用可能だ。
リスト1●コンピュータアカウントの既定の場所を変更
|
本記事は、ネットワークマガジンにて掲載していた連載をまとめたものです。連載の一部は弊社刊行の書籍「Windows Serverマスターガイド」にも収録をしております。 ■Amazon.co.jpで購入
また、月刊アスキードットテクノロジーズでは、2010年3月号より本記事の執筆者である横山哲也氏による連載「Windows Server 2008 R2運用テクニック」を掲載しております。最新のWindows Serverの情報に関しましては、こちらもご覧ください。 |
この連載の記事
-
最終回
ソフトウェア・仮想化
スナップショットとクイックマイグレーションを使ってみよう -
第34回
ソフトウェア・仮想化
Hyper-Vの仮想マシンに「統合サービス」を入れよう -
第33回
ソフトウェア・仮想化
Hyper-Vの仮想マシンのハードウェアを設定しよう -
第32回
ソフトウェア・仮想化
Hyper-Vのインストールはネットワークに注意しよう! -
第31回
ソフトウェア・仮想化
Windows Server 2008の仮想化機能「Hyper-V」を活用しよう -
第30回
ソフトウェア・仮想化
Windows Server Update Servicesの活用方法とは? -
第29回
ソフトウェア・仮想化
Windows ServerをWindows Updateサーバにしよう -
第28回
ソフトウェア・仮想化
Active Directoryと連携できるIISの認証機能を理解 -
第27回
ソフトウェア・仮想化
Windows Serverの標準Webサーバ「IIS」を活用しよう -
第26回
ソフトウェア・仮想化
Windows ServerのCAでメールを安全に -
第25回
ソフトウェア・仮想化
Windows Server証明書サービスを設定しよう - この連載の一覧へ
