Active Directory(5)-コンピューターのAcitve Directoryへの参加

前回は、”Active Directory”にコンピュータの追加を行いました。ドメイン ユーザーの追加の時と同様に試しに他のPCからこのアカウントを使用してログインしてみましたが、”サーバーのセキュリティ データベースにこのワークステーションの信頼関係に対するコンピュータ アカウントがありません”と表示されました。これらに関しては下記のページを参照してください。

Active Directory(4)-コンピューターの追加

ログインをするためには、まず、”Active Directory”が構築されている別のPCで、”Active Directory”に参加する必要があります。今回はクライアントPCから”Active Directory”へ参加をしてみたいと思います。

それでは、早速、”Active Directory”に参加してみたいと思います。”Windowsキー + R”を押して、ファイル名を指定して実行画面を表示します。”sysdm.cpl”を入力して”OK”ボタンを押します。下記のように”システムのプロパティ”の画面が表示されまので、”変更”ボタンを押します。

下記のように”コンピュータ名/ドメインの変更”画面が表示されるので、”ドメイン”を選択、設定したドメイン名を入力して、”OK”ボタンを押します。

”Windows”セキュリティ画面が表示されるので、アクセス許可のあるアカウントを設定します。”Administrator”は標準では”Domain Admins”のメンバーであるので、今回は”Administrator”を使用しました。

”ADドメインにようこそ。”と画面に表示されるので、”OK”ボタンを押します。

下記のように、PCの再起動を促されれるので、再起動します。

再起動後、ADドメインを使用して”Active Directory”に追加したユーザーでログインすることができました。

今回、”Active Directory”に参加して、他のPCから”Active Directory”に追加したユーザーでログインできるようになりました。今回、ネットワークの設定の関係で”Active Directory”に参加する上で下記のようなエラーが発生しました。

私のケースではこれもネットワークの設定で解決できましたので、メモしておこうと思います。

Active Directory(4)-コンピューターの追加

前回は、ドメイン ユーザーの追加を行いました。試しに他のPCからこのアカウントを使用してログインしてみましたが、”サーバーのセキュリティ データベースにこのワークステーションの信頼関係に対するコンピュータ アカウントがありません”と表示されました。これらに関しては下記のページを参照してください。

Active Directory(3)-ドメイン ユーザーの追加

これを解決するためには、”Active Directory”にコンピューターを登録する必要があります。今回は、”Active Directory”にコンピュータを追加したいと思います。

それでは、早速、”ドメイン ユーザー”を追加したいと思います。まずは、”サーバー マネジャー”を実行します。メニューより”ツール”->”Active Directory ユーザーとコンピュータ”を選択します。

“Active Directory ユーザーとコンピュータ”画面が表示されます。”Active Directory ユーザーとコンピュータ”->”ad.network”->”Computers”を選択します。Computersの一覧が表示されます。まだ、コンピュータが登録されていないので、表示する項目はありません。

“Computers”を右クリックして、右クリックメニューから”新規作成”->”コンピューター”を選択します。”新しいオブジェクト – コンピューター”画面が表示されます。”コンピューター名”を入力して、”OK”ボタンを押します。”ユーザーまたはグループ”はどのユーザーやグループで参加できるか指定する設定になります。

下記のように、ユーザーが追加されていることが確認できます。

それでは今回登録したPCを使用してログインしてみようと思います。すると”サーバーのセキュリティ データベースにこのワークステーションの信頼関係に対するコンピュータ アカウントがありません”と表示されました。クライアント側(今回登録したPC側)の設定も必要なようです。クライアント側PCをドメインに参加させる必要があります。

Active Directory(3)-ドメイン ユーザーの追加

前回は、”ドメイン コントローラ”の構成を行い、”Active Directory”を使用するための準備を完了しました。ログイン画面も”ドメイン\ユーザーID”となっていることが確認できました。これらに関しては下記のページを参照して下さい。

Active Directory(2)-ドメイン コントローラの構成

今回は、”ドメイン ユーザー”を追加してみたいと思います。今までは、ローカルPCで管理していたアカウントですがこれからはこの”Active Directory”上で管理されるようになります。Windowsのユーザーアカウントの追加とは違い、”Active Directory”の場合は、”Active Directory ユーザーとコンピュータ”上で”ドメイン ユーザー”を追加します。

それでは、早速、”ドメイン ユーザー”を追加したいと思います。まずは、”サーバー マネジャー”を実行します。メニューより”ツール”->”Active Directory ユーザーとコンピュータ”を選択します。

“Active Directory ユーザーとコンピュータ”画面が表示されます。”Active Directory ユーザーとコンピュータ”->”ad.network”->”Users”を選択します。Userの一覧が表示されます。”Active Directory”を構築する前に作成したユーザー(home_test_002)も登録されています。

“Users”を右クリックして、右クリックメニューから”新規作成”->”ユーザー”を選択します。”新しいオブジェクト – ユーザー”画面が表示されます。”フルネーム”と”ユーザー ログオン名”を入力して、”次へ”ボタンを押します。

パスワードを入力する画面が表示されるので、パスワードを入力して”次へ”ボタンを押します。

設定内容の確認画面が表示されるので、確認後、”完了”ボタンを押します。

下記のように、ユーザーが追加されていることが確認できます。

それでは、試しに他のPCからこのアカウントを使用してログインしてみようと思います。すると”サーバーのセキュリティ データベースにこのワークステーションの信頼関係に対するコンピュータ アカウントがありません”と表示されました。”Active Directory”にコンピューターを登録しなければなりません。

Active Directory(2)-ドメイン コントローラの構成

前回、”Active Directory”を”Windows Server 2019″上に追加しました。合わせて、”Active Directory”を使用しない場合は、どのようなことが必要となるのか一例をあげさせていただきました。これらに関しては下記のページを参照してください。

Active Directory(1)-Active Directory の設定

今回は、”ドメイン コントローラ”の構成を行っていきたいと思います。これらの設定を行うことで、ドメインを使用して、アカウントにログインできるようになります。それでは、早速”ドメイン コントローラ”を構成していきたいと思います。まずは、”サーバー マネジャー”を起動します。

通知マーク(旗と警告マーク)を選択すると、”展開後構成”という警告が出ており、その中に”このサーバーをドメイン コントローラに昇格する”という部分を選択して、”ドメイン コントローラ”の構成を開始することもできますが、今回は左側に表示されている”AD DS”を選択して、”ドメイン コントローラ”の構成を進めようと思います。下記のような画面に遷移しますので、警告マークの部分の”その他”を選択します。

“すべてのサーバー タスクの詳細と通知”画面が表示されるので、操作部分の”このサーバーをドメイン コントローラーに昇格する”を選択します。

“配置構成”画面が表示されるので、”新しいフォレストを追加する”を選択、”ルートドメイン名”を入力して、”次へ”ボタンを押します。

“ドメイン コントローラー オプション”画面が表示されるので、”フォレストの機能レベル”と”ドメインの機能レベル”を”Windows Server 2016″に設定します。”Windows Server 2019″と”Windows Server 2016″は機能レベルが同じであるようなので、”Windows Server 2016″で良いようです。今回、DNSも同じサーバーに追加するので、”ドメイン ネーム システム (DNS) サーバー (O)”のチェックをONにしておきます。”グルーバル カタログ (GC)(G)”と”読み取り専用ドメイン コントローラ (RODC)(R)”は、新しいフォレストでは設定を変更はできません。パスワードも入力できましたら、”次へ”ボタンを押します。

“DNS オプション”画面が表示されます。親ドメインや他のWindows DNS サーバーが存在する場合は、ここで設定を行います。今回は存在しないので、そのまま”次へ”ボタンを押します。

“追加オプション”画面が表示されます。ここで”NetBIOS 名”を変更できるようですが、今回はこのまま”次へ”ボタンを押します。

“パス”画面が表示されます。ここでは、”AD DS”のデータベースやログなどを保存するフォルダを指定します。今回はこのまま”次へ”ボタンを押します。

“オプションの確認”画面が表示されます。今まで設定した内容を表示してくれているので、確認して問題なければ、”次へ”ボタンを押します。

“前提条件のチェック”画面が表示されます。ここで、”Active Directory ドメイン サービス”を構成できるかチェックしてくれます。”すべての前提条件のチェックに合格しました。[インストール]をクリックしてインストールを開始してください。”と表示されたら、”インストール”ボタンを押します。

インストールが完了すると自動で再起動が行われます。ログイン画面が表示されると先程設定された”NetBIOS 名”がユーザー名の前についています。今回の場合は、”AD\*******”となっていると思います。

Active Directory(1)-Active Directory の設定

ユーザーの追加やグループの作成、グループへのユーザーの追加、ユーザー権限の設定などを行ってきました。これらはファイル共有やリモートデスクトップなどさまざまなWindowsの機能に影響を与えることもわかりました。ネットワークの機能を使用する際には、クライアント側とサーバー側の両方で設定を行う必要があり、面倒です。そこで登場するのが”Active Directory”です。”Active Directory”は、この設定をサーバー側で一元管理します。例えば、ユーザーIDやパスワードはサーバー側で管理されているのでパソコンを選ぶ必要がありません。

それではこの”Active Directory”を”Windows Server 2019″上に追加したいと思います。まずは、”サーバーマネージャー”を開きます。”サーバーマネージャー”を開いたら、メニューの”管理”->”役割と機能の追加”ボタンを選択します。

役割と機能の追加ウィザードが開かれまず。初回は”開始する前に”が開かれているので、”次へ”ボタンを押します。

“インストールの種類の選択”画面が表示されるので、”役割ベースまたは機能ベースのインストール”を選択して”次へ”ボタンを押します。

“対象サーバーの選択”画面が表示されるので、対象のサーバーを選択して、”次へ”ボタンを押します。

“サーバーの役割の選択”画面が表示されます。

“Active Directory ドメイン サービス”のチェックボックスを”ON”にします。すると下記のような画面が表示されるので、”機能の追加”ボタンを押します。

“Active Directory ドメイン サービス”のチェックボックスを”ON”になっていることを確認して、”次へ”ボタンを押します。

“機能の選択”画面が表示されます。先程選択した機能が選択された状態になっているので、そのまま”次へ”ボタンを押します。

“Active Directory ドメイン サービス”画面が表示されます。ここでは、”Active Directory ドメイン サービス”の説明が記述されています。そのまま”次へ”ボタンを押します。

“インストール オプションの確認”画面が表示されるので、そのまま”インストール”ボタンを押します。

“インストールの進行状況”画面が表示されます。インストールが完了したら、”閉じる”ボタンを押します。

これで、”Active Directory”の追加は完了です。この後に、”ドメイン コントローラー”の構成をする必要があります。それは次の機会にメモしていきたいと思います。パソコンやプリンターなどのデバイスを管理するために重要な仕組みであると思います。そこで気になるのは、”Active Directory”を使用しない場合はどのようなことをする必要があるのかです。少しご紹介したいと思います。例えば共有ファイルです。

ユーザー管理(2)-グループの作成とグループへのユーザー追加

前回はWindowsに現在使用しているユーザー以外のアカウントを追加する方法について試してみました。ユーザーの追加方法ですが、いろいろな方法があります。下記のページでご紹介しています。

ユーザー管理(1)-Windowsユーザー追加

前回も述べた通り、ユーザーの権限によって、ファイル共有やリモートデスクトップへの接続など、Windows機能の動作が変わってきます。ユーザー自体に個別に権限を与えてもよいのですが、ユーザーが増えれば増えるほど管理がたいへんになってきます。そこで、グループという仕組みを活用します。グループを作成してその中にユーザーを追加、グループ自体に権限を与えれば、各ユーザーごとに権限を設定しなくてよいので便利です。

今回は、下記のようなユーザーを用意しました。

pro_test_001標準ユーザー
pro_test_002標準ユーザー

これらのユーザーは権限を与えてないので、下記の”Share_test_001″共有フォルダにはアクセスできません。

グループを作成して、作成したグループに各ユーザーを追加して、このグループに共有フォルダにアクセスする許可を与えることで、各ユーザーが共有フォルダにアクセスできるようにしてみたいと思います。それでは、早速、グループを作成していきたいと思います。

リモートデスクトップ(3)-リモートデスクトップを有効にするとは?

前回、リモートデスクトップに接続できない状態について調査していきました。なぜ、標準ユーザーであると拒否されるか、そもそもコントロールされるPCの権限に関わらず、リモートデスクトップ接続ができないのは、どのような状態であるのか調査することで、対応方法について考えてきました。これらについては下記のページでご紹介しています。

リモートデスクトップ(2)-接続ができない状態について

前回、リモートデスクトップを有効にする方法をご紹介しましたが、実際に有効にした際に、バックグラウンドでどのような処理をが行われているのか気になるところです。そこで、実際にバックグラウンドでどのような処理がおこなわれているのか探ってみたいと思います。

まずは下記のように、”リモートデスクトップを有効にする”を”OFF”の状態にしておきます。

ファイル共有(7)-Windows Server 設定

Windows上でのファイル共有の設定を見てきましたが、今回はWindows Serverでのファイル共有の設定をしていきたいと思います。Windows Serverでファイル共有をする場合、まず、初めに、”ファイル サーバー”の役割をインストールしますが、今回使用するWindows Serverは”Windows Server 2019″で最初から下記のように”ファイル サーバー”の役割がインストールされている状態でした。

そこで気になるのが、”ファイル サーバー”の役割がインストールされている時とされていない時の違いですが、おそらく”サーバーマネージャー”に機能として表示されるか、されないかの違いかなと思います。

“ファイル サーバー”の役割がインストールされている場合

“ファイル サーバー”の役割がインストールされていない場合

以前、Windowsでも共有フォルダの設定を行いましたが、同じようなことをWindows Server上で行うと、自動で”ファイル サーバー”の役割がインストールされるようです。Windowsでの共有フォルダの設定は下記のページを参照して下さい。

ファイル共有(1)-ファイルの共有設定

基本的には”サーバーマネージャー”を活用していけば、Windows Serverの設定を行うことができそうです。もちろん、”Windows PowerShell”や”コマンド プロンプト”が必要な場合もありますので、その時はこれらを使用していきたいと思います。

それでは、実際にWindows Server上でファイル共有を行いましたが、思った通りに動作せず、調査を行いました。共有フォルダにアクセスした際、パスワードを求めるように設定しましたが、要求されず、下記のようなエラーが発生します。

ネットワーク探索の設定画面がおかしな動作をしいたので、修正してみましたが、パスワードの部分は思った通りの動作はしませんでした。ネットワーク探索の自体はもともと動作していましたが、なぜか設定の変更が画面上で反映されなかったので、反映されるよう設定を変更しました。こちらに関しては、Windowsで同じような現象が起きた場合に有効かなと思いますので、記述しておこうと思います。

また、引き続き調査した結果、パスワードの部分も解決しましたので、記述しておこうと思います。

ファイル共有(6)-アクセスはできるがネットワークに表示されない状態について

最近、あるPCに共有設定をして、ネットワークからPCを探したところ、表示がされませんでした。

あれ?なぜ表示されないだろうと思いながら直接パスを指定したところ問題なく、ネットワーク上のPCにアクセスできることは確認できた。もちろん共有フォルダにもアクセスできる。

なぜ、PCがネットワークフォルダに表示されないのか、今回はこれに関して探っていいきたいと思います。

リモートデスクトップ(2)-接続ができない状態について

前回はユーザー権限の違いによって、リモートデスクトップの動作はどう変わるのか試してみました。試してみた結果に関しては、下記のページを参照してください。

リモートデスクトップ(1)-ユーザー権限による違い

前回も述べたように、コントロールされるPCが”標準ユーザー”の権限では、リモートデスクトップ接続が拒否されます。なぜ、拒否されるのか、探っていきたいと思います。

また、そもそもコントロールされるPCの権限に関わらず、リモートデスクトップ接続ができなかった方もいらっしゃるかもしれません。例えば、”ユーザー名”や”パスワード”を求められる”セキュリティ”ダイアログがそもそも表示されない場合もあります。それもWindowsの設定で解決できるパターンもありますので、見ていきたいと思います。