sambaドメインコントローラーにPCを登録
前回は、sambaドメインコントローラーを立ち上げるところまで進めました。
今回は前回構築したドメインコントローラーにPCを登録したうえで、アクティブディレクトリ管理ツールをWindowsにインストールし、グループポリシーを適用してみたいと思います。
ユーザー管理
ユーザーやグループの管理は「samba-tool」というコマンドを通して行います。
筆者の環境では、samba-toolのサブコマンドは次のように用意されています。これはsamba-tool --helpコマンドで見ることができます。また詳細はman samba-toolと打ち込むと出てきます。
この中のuserを使って、ユーザー、「nanbu」と「hokuto」、「saijyo」、「higashi」を追加してみます。
manによると、ユーザー追加の書式は、
user create username [password]
ユーザーを作成した後、samba-tool listコマンドを実行すると、登録したユーザー名が出てきます。
# samba-tool user create nanbu pass4Nanbu bash: user 'nanbu' created successfully # samba-tool user create hokuto pass4Hokuto ... # samba-tool user create saijyo pass4Saijyo ... # samba-tool user create higashi pass4Higashi ... # samba-tool user list krbtgt saijyo ...
パスワードを変更したい場合は、
# samba-tool setpassword ユーザー名
とします。
ユーザーアカウントを停止したい場合は、
# samba-tool user disable ユーザー名
とします。復活させたい場合は、disableの部分を、enableに、削除したい場合は、deleteにすることで可能です。
グループ管理
今度はグループを作成してユーザーを所属させます。親=parentグループと、子=childグループに分けます。
manによると、グループ追加の書式は、
group add groupname [options]
ユーザーを追加するには、
group addmembers groupname members [options]
グループ内のメンバーを確認するには、
group listmembers groupname [options]
ということでした。
# samba-tool group add parent Added group parent # samba-tool group add child ... # samba-tool group addmembers parent higashi Added members to group parent # samba-tool group addmembers child nanbu ... # samba-tool group addmembers child saijyo ... # samba-tool group addmembers child hokuto ... # samba-tool group listmembers child saijyo nanbu hokuto
group addで追加したグループは、userの時と同様の書式でlistで確認し、deleteで削除することができます。
group addmembersで追加したユーザーを外したい場合は、removemembersとします。
ユーザーは複数のグループに所属することができます。
WindowsPCをドメインに参加させる
PCをドメインに参加させるには、まずDNSサーバーの設定をドメインコントローラーのIPアドレスにします。
そのうえで、「コントロールパネル」「システム」「システムの詳細設定」と進み、「コンピューター名」のタブより「コンピューター名を変更したりドメインに参加したりするには[変更]をクリックしてください。の「変更」を押します。
所属するグループに、Sambaドメインコントローラーに設定したドメイン名を入力してください。
「OK」を押すと、ドメインのユーザー名とパスワードを求めれれますので入力します。
設定が正常に終了すると、再起動を求められるので再起動します。
Windowsのログイン時は、「他のユーザー」を選択し、ドメイン名\ユーザー名+パスワードでログインすることでドメインに参加した状態となります。
下段に「接続先:」と表示されていて、ドメイン名が表示されている場合で、そのドメインに接続したい場合はドメイン名は省略できますが、Administratorと入力すると自動的にローカル環境に接続しに行くようなので、ドメインのAdministratorにログインをする際はドメイン名をつけて入力しましょう。
逆に元のローカル環境にログインしたい場合は、PC名\ユーザー名とします。
元のPC名を忘れてしまった場合は、「別のドメインに接続するには」の文字をクリックすると表示してくれます。
WindowsからSambaドメインコントローラーを管理
WindowsからSambaドメインコントローラーを管理するために、Microsfotのページからツールをダウンロードします。筆者の環境では1803 x86版をダウンロードしました。
インストールするとスタートメニューの「Windows管理ツール」内にActive Directory関連のツールが入ります。これらを使って管理ができます。
ユーザーやグループの追加や変更は、「Active Directory ユーザーとコンピュータ」から行えます。ドメイン「Users」を右クリックして新規作成から、ユーザーやグループを作成しできます。右側のペインから対象のユーザーを右クリック「グループに追加」を選択後参加させたいグループを入力することでグループ登録ができます。
グループポリシーはユーザーに対して行うものとコンピューターに対して行うものがありますが、ユーザー毎の設定を例にします。Active Directory ユーザーとコンピュータの左側のペインを右クリックして、「新規作成」、「組織単位(OU)」を選択して名前を付けます。作成するルールを適用したユーザーをusersの中からドラッグ&ドロップで作成したOUに移動させます。
つぎにツールを切り替えます。「グループポリシーの管理」ツールを開き、「グループポリシーオブジェクト」を作成します。
「フォレスト」「ドメイン」の対象ドメインにある「グループポリシーオブジェクト」を選択して右クリック「新規作成」とします。
名前にわかりやすいものをつけます。ここでは「LANの設定変更禁止」とします。作成したオブジェクトを右クリックして「編集」を選択します。
「ユーザーの構成」、「ポリシー」、「管理用テンプレート」、「ネットワーク」、「ネットワーク接続」の中に「LAN接続のプロパティへのアクセスを禁止する」という項目がありますので、ダブルクリックして有効を選択します。
今回はユーザーに対して設定しましたが、コンピューター毎に設定する項目は場合は「コンピューターの構成」の方から選択します。
先のツールで作成したOUがこちらのツールでも表示されていると思います。作成ポリシーオブジェクトをOUへドラック&ドロップします。
この状態で、OUで設定したユーザーからアクセスし、LANのプロパティを開こうとするとグレーアウトしていて選択できなくなっています。
参考にさせていただいたサイトです。ありがとうございました。