Active Directoryを活用したクライアント端末の管理～ドメイン上でのユーザの作成～

今回は、少し今までの作業とは異なり、
これまでに構築した環境に実際に利用する上で最低限の設定を行います。

本来説明をする前にドメイン上のアカウントとローカルアカウントの違いや、
OU（Organizational Unit：組織単位）に関する説明等が必要ですが、
今回は、まずは単純にクライアント端末をドメインに参加させるところに
主軸をおき説明を進めます。

理由としては、今回はまずはActiveDirectoryを利用した
クライアント端末の管理を行ううえでの全体像を知ってもらい、
その上でここの仕組みを個別に触れることで
それぞれのもつ利点や欠点等をより理解していただきたい為です。

また、作成するユーザについても、本来管理を行ううえでは
いくつかの管理用のユーザの作成も必要となりますが、
その点の説明については、別のエントリーで説明を行うこととします。

では、早速説明に入ります。

1.アカウント管理用画面の起動

まずはじめに、クライアント端末をドメインに参加させる際に必要となる
ドメイン用のアカウントを作成します。

作成方法にはいくつかありますが、今回はサーバ側であらかじめ作成し、
それをクライアント端末側で設定し参加させる方法で説明します。

管理用画面をはいつものように「サーバの役割管理」画面から起動します。
画面のなかから「ドメインコントローラ（Active Directory）」の項目にある
「Active Directoryのユーザとコンピュータを管理する」を選択します。

ここで起動した画面がドメインに参加しているコンピュータ上での
アカウントや権限を設定する際に利用する管理画面となります。

左側ツリーに目を向けるとここまでの手順で作成した「level-9.jp」ドメインがあります。

さて、今回はクライアント端末で利用するドメイン上のアカウントを作成しますので、
早速対象となるドメインである「level-9.jp」のツリーを展開します。

ツリーを展開するといくつかのオブジェクトが存在していることに気がつくかと思います。
個々の説明については、別な投稿で行うとしてまずは先にアカウントの追加を行います。

今回はドメイン上の利用者アカウントの作成を行いますので、
展開されたオブジェクトの中から「Users」を選択します。

「Users」オブジェクトを選択するとデフォルトで作成済みのアカウントが表示されます。

デフォルトで作成済みのアカウントの大半は各サービスの管理用アカウントであったり、
または、各サービスで利用されるゲストアカウントそして、
サービスを構成する上で必要となるアカウントとなります。

今回はここに試験的にひとつのアカウントを追加してみたいと思います。
2.利用者（ユーザ）アカウントの追加作業

アカウントを追加する方法はいくつかあります。

ひとつは、左側ツリーの「Users」を右クリックし、「新規作成」の中から
「ユーザー」を選択する方法。
もうひとつは、左側ツリーで「Users」を選択し、右側ウィンドウ内の空欄で右クリックし、
「新規作成」の中から「ユーザー」を選択する方法等他にもいくつかの操作があります。

いずれかの方法で作成画面を開いてください。

上記の「新しいオブジェクト － ユーザー」画面を用いてアカウントの追加を行います。

「新しいオブジェクト － ユーザー」画面にはいくつかの入力項目がありますが、
まずは、試験ですので以下の情報を入力したいと思います。

• 姓：山田
• 名：太郎
• イニシャル：（何も入力しない）
• フルネーム：（自動的に設定される）
• ユーザーログオン名：t-yamada
• ユーザーログオン名（Windows2000以前）：（自動的に設定される）

以上のように「山田　太郎」というアカウントを作成します。

入力を終えたら「次へ」をクリックします。

3.パスワードおよび初回ログオン時ポリシーの設定

次に作成するアカウントに設定するパスワードや
初回ログイン時のポリシーの設定画面が開きます。

特に難しい項目はありませんが一点だけ注意をしてほしい点があります。

今回はじめての導入を前提として説明ですので、
おのずとその他の設定項目は説明で触れられていないかぎり初期設定のままです。

この場合、アカウントに設定するパスワードを作成する場合に
デフォルトのアカウントポリシーに準じる必要があります。

通常、デフォルトのアカウントポリシーでは以下のように設定されています。

• パスワードは7文字以上であること
• パスワードは変更後一日間は再変更できない
• パスワードは42日に1度は変更を必要とする
• パスワードは24回分の履歴を保持し、履歴に存在するパスワードは再設定できない
• 複雑さの要件を満たすパスワードを設定することを求める
  （英大文字、英小文字、数字、アルファベット以外の文字の組み合わせが必須等）

この条件が設定されていることを理解していないと、
いざアカウントを設定しようとした場合にエラーとなりアカウント作成でつまづきます。

また、場合によっては利用中のアカウントのパスワードの履歴が24回もとられ、
ユーザが都度ある程度の複雑性をもつパスワードを考えなければならず、
ユーザにとっても非常にわずらわしい問題も発生します。

パスワード管理は非常に難しく、あまり杓子定規にしてしまえば、
利用者がパスワードを机に貼り付けたり、
安易に想像しうる組み合わせのパスワードを利用、
最後はパスワードそのものを覚えることをやめてしまうなど
利便性をそこなう恐れもありますので、履歴の保持回数やパスワードの有効期限、
そして複雑さ等、自身の組織の規模や求められるセキュリティレベルに合わせて
適切な強度で設定するようにしましょう。

なお、この点の設定変更を行うには「管理ツール」内の「ドメインセキュリティポリシー」を選択し、
表示される画面内の左側ツリーで、「セキュリティ設定」内「アカウントポリシー」から
「パスワードのポリシー」を選択することで設定されている内容の確認または
変更等することが可能となります。

今回はデフォルトのパスワードポリシーに準拠する形であえて作成します。

• パスワード：*SamplePasword
• ユーザは次回ログオン時にパスワード変更が必要：チェックしない
• ユーザはパスワードを変更できない：チェックしない
• パスワードを無期限にする：チェックしない
• アカウントは無効：チェックしない

2008年11月27日 　一部修正しました
「ユーザは次回ログオン時にパスワード変更が必要」を
「チェックする」から「チェックしない」に変更しました。
理由は「注記１」を参照してください。

設定を終えたら「次へ」をクリックします。

※パスワードの2文字目の「S」および8文字目の「P」は大文字です
4.設定内容の確認とアカウントの作成の実施

最後に、ここまでの設定内容が表示されますので、
問題がなければ「完了」をクリックしアカウントを作成します。

正常に作成が行われると以下のように「Users」オブジェクト内に
作成した「山田 太郎」アカウントが追加されます。

以上がアカウントの作成となります。
次は、ここで作成したアカウントを利用し、実際にクライアント端末からログインし、
クライアント端末をドメインに参加させてみたいと思います。

なお、当初本投稿で想定していたグループに関する説明ですが、
説明が長文化することと、具体的な利用ケースがあいまいになる為、
別途説明を行うことといたしました点ご了承ください。

お疲れ様でした。

注記１

説明を行う過程において、「ユーザは次回ログオン時にパスワード変更が必要」
と設定している場合、「ネットワークID ウィザード」を利用した方法での
ドメイン（ActiveDirectory）への参加が行えないことが判明しました。

本来は初回ログイン時にユーザ自身にパスワードを設定させる方が、
管理者が一元的にパスワードを割り当てるよりもよいと思う面が多いのですが、
説明の都合上本エントリーも修正を行いました。

なお、「ネットワークID ウィザード」を利用しない方法で参加させるのであれば
上記の制限は受けません。

大変失礼いたしました。

Technorati Tags: Active Directory, Windows 2003 Server