Active Directoryユーザーとコンピューター
クライアントPCからネットワークに接続するには、Windowsネットワークを利用するユーザーをあらかじめサーバーに登録しておく必要があります。今回は、管理者1名、一般ユーザー4名をドメインの利用者として登録する手順を説明します。
LANの設定
ネットワークの設定は、前回のものを引き継ぎます。
| ネットワークアドレス | 192.168.1.0/24 |
|---|---|
| デフォルトゲートウェイ | 192.168.1.1(192.168.1.1~192.168.1.10 |
| ドメインコントローラー/DHCP/DNS | 192.168.1.101(192.168.1.101~192.168.1.120 |
| ホストに割り当てるIPアドレスの範囲 | 192.168.1.11~192.168.1.100、192.168.1.121~192.168.1.254 |
| ブロードキャストアドレス | 192.168.1.255 |
登録ユーザー
登録ユーザーは、4名です。そのうち、1名は管理者としてAdministrator権限を持たせます。他の一般ユーザーの3名は、Usersとして登録します(コラム1、コラム2参照)。
| ユーザー名 | フルネーム | 備考 |
|---|---|---|
| Hirosawa | 廣澤 順 | Administratorをコピー |
| Suzuki | 鈴木 一郎 | 新規登録 |
| Tanaka | 田中 二郎 | 新規登録 |
| Sato | 佐藤 三郎 | 新規登録 |
Administrator権限を持つユーザーの登録
(1)サーバーマネージャーの起動
上部メニューバーの「ツール」−「Active Directoryユーザーとコンピューター」を開きます。
図1:「ツール」−「Active Directoryユーザーとコンピューター」を開く
(2)Active Directoryユーザーとコンピューター
「ad.local」の左の三角印「▷」をクリックします。
図2:ad.localの階層を展開
(3)「Users」を開く
「Users」をクリックします。
図3:Usersの選択
(4)コピーするユーザーを選ぶ
「Administrator」をクリックします。
図4:Administratorの選択
(5)Administratorをコピーする
「操作」メニューをクリックし、「コピー」をクリックします。
図5:Administratorの権限をコピー
(6)Administrator権限を持つユーザーの情報を入力
- 「姓」「名」を入力します。
- 「ユーザーログオン名」を入力します。
図6:新しいオブジェクトの追加
(7)パスワードの入力
パスワードは、次の「複雑さの要件」を満たす必要があります。
参照:https://msdn.microsoft.com/ja-jp/library/Cc786468(v=WS.10).aspx
- パスワードを入力します。
- パスワードの確認入力を行います。
- 「次へ」ボタンをクリックします。
図7:パスワードの入力
(8)ユーザー情報の確認
- 入力した項目内容を確認します。
- 項目に間違いがある場合は、「戻る」ボタンをクリックして、設定内容を修正します。
- 入力内容に間違いがない場合は、「完了」ボタンをクリックします。
図8:ユーザー情報の確認
(9)ユーザーの作成結果の確認
入力の完了後、管理コンソールに戻り、新しいユーザーが登録されていることを確認します。
図9:Active Directoryユーザーとコンピューター管理コンソール
1.4(1)Active Directoryユーザーとコンピューター
- 「Users」をクリックします。
- ツールバーの「現在のコンテナに新しいユーザーを作成」アイコンをクリックします。
図10:新しいユーザーの作成
(2)ユーザー情報の設定
- 「姓」「名」を入力します。
- 「ユーザーログオン名」を入力します。
- 「次へ」ボタンをクリックします。
図11:ユーザー情報の設定
(3)パスワードの設定
- 「パスワード」を入力します。
- 確認のために、同じパスワードを再度入力します。
- 「ユーザーは次回ログオン時にパスワード変更が必要」にチェックマークが付いていることを確認します。
- 「次へ」ボタンをクリックします。
図12:ユーザーのパスワードの入力
(4)ユーザー情報の確認
- 入力した項目内容を確認します。
- 項目に間違いがある場合は、「戻る」ボタンをクリックして、設定内容を修正します。
- 入力内容に間違いがない場合は、「完了」ボタンをクリックします。
図13:ユーザー情報の確認
(5)ユーザーの作成結果
入力の完了後、管理コンソールに戻り、新しいユーザーが登録されていることを確認します。
図14:新しいユーザーの追加を確認
(5)Active Directoryユーザーとコンピューターの終了
残りの2名についても、同様の手順でユーザーの登録を行います。
Active Directoryユーザーとコンピューターの管理コンソールでユーザーの登録結果を確認後、管理コンソールを終了します。
図15:ユーザーの登録後のActive Directoryユーザーとコンピューターの管理コンソール画面
【コラム1】ネットワークへのログオン
Windowsネットワークでは、特定のコンピューターではなく、ネットワークそのものにログオンするという方法で、セキュリティを高めています。そのため、ユーザーはネットワークを管理しているサーバーに対してログオン手続きを行い、サーバーが認証を行うことで、ユーザーはログオンしたコンピューターから、許された範囲で、ネットワークのリソース(たとえば、ネットワークに接続されているファイルサーバーやプリントサーバーなど)にアクセスできるようになります。
【コラム2】Administratorsグループの権限
Windows Serverでは、個々のユーザーアカウントとは別に、複数のユーザーの権限をまとめて管理するグループという枠組みが用意されています。Administratorsというのは、システム管理のためにあらかじめ用意されたグループで、システム管理に必要な権限をすべて保有しています。このグループに所属するアカウント名(ユーザー名、パスワード、権限、使用条件などのデータのセット)は、すべての管理作業(サーバーのシャットダウン、ファイルやディレクトリのバックアップやリストア、デバイスドライバのロードとアンロードなど)が行えます。このグループには、最初からAdministrator(末尾にsが付かない)というアカウント名が設定されています。このような、システムがあらかじめ用意しているユーザーアカウントをビルトインアカウント(システムに組み込まれたアカウントという意味)と呼びます。これに対して一般ユーザーは、ネットワークにアクセスして共有ファイルや共有プリンタを利用することしかできません。
【コラム3】パスワードの更新ができない
ユーザーのパスワードには、期限が設定されています。無期限にもできますが、標準では42日に設定されています。42日後には、パスワードの変更が要求されます。このとき、「複雑さの要件」を満たしていても、パスワードの変更が認められないことがあります。マイクロソフトコミュニティへの質問に対する回答では、以下のように説明されています。
「長さが 3 文字以上のトークンごとに、そのトークンがパスワードに含まれるかどうかが検索され、含まれる場合は、パスワードの変更が拒否されます。つまり、" Axyz0001" という名前は、"Axy"、"z00"、"01" という 3 つのトークンに分割されます。したがって、このユーザーは、パスワードのどこかに "axy" または "z00" あるいは"01"が含まれるパスワードには変更できません。」という理由だそうです。
参照:http://answers.microsoft.com/ja-jp/windows/forum/windows_7-security/%E8%A4%87%E9%9B%91%E6%80%A7%E3%81%AE%E8%A6%81/5d3abe0c-2244-489a-a840-4e37e85ed8be?auth=1
