|||||||||||||||||||||

なんぶ電子

- 更新: 

sambaドメインコントローラーにPCを登録

前回は、sambaドメインコントローラーを立ち上げるところまで進めました。

今回は前回構築したドメインコントローラーにPCを登録したうえで、アクティブディレクトリ管理ツールをWindowsにインストールし、グループポリシーを適用してみたいと思います。

ユーザー管理

ユーザーやグループの管理は「samba-tool」というコマンドを通して行います。

筆者の環境では、samba-toolのサブコマンドは次のように用意されています。これはsamba-tool --helpコマンドで見ることができます。また詳細はman samba-toolと打ち込むと出てきます。

この中のuserを使って、ユーザー、「nanbu」と「hokuto」、「saijyo」、「higashi」を追加してみます。

manによると、ユーザー追加の書式は、

 user create username [password]

ユーザーを作成した後、samba-tool listコマンドを実行すると、登録したユーザー名が出てきます。

# samba-tool user create nanbu pass4Nanbu
 bash: user 'nanbu' created successfully
 # samba-tool user create hokuto pass4Hokuto
 ...
 # samba-tool user create saijyo pass4Saijyo
 ...
 # samba-tool user create higashi pass4Higashi
 ...
 # samba-tool user list
 krbtgt
 saijyo
 ...

パスワードを変更したい場合は、

 # samba-tool setpassword ユーザー名 

とします。

ユーザーアカウントを停止したい場合は、

 # samba-tool user disable ユーザー名 

とします。復活させたい場合は、disableの部分を、enableに、削除したい場合は、deleteにすることで可能です。

グループ管理

今度はグループを作成してユーザーを所属させます。親=parentグループと、子=childグループに分けます。

manによると、グループ追加の書式は、

 group add groupname [options]

ユーザーを追加するには、

 group addmembers groupname members [options]

グループ内のメンバーを確認するには、

 group listmembers groupname [options]

ということでした。

 # samba-tool group add parent
 Added group parent
 # samba-tool group add child
 ...
 # samba-tool group addmembers parent higashi
 Added members to group parent
 # samba-tool group addmembers child nanbu
 ...
 # samba-tool group addmembers child saijyo
 ...
 # samba-tool group addmembers child hokuto
 ...
 # samba-tool group listmembers child
 saijyo
 nanbu
 hokuto

group addで追加したグループは、userの時と同様の書式でlistで確認し、deleteで削除することができます。

group addmembersで追加したユーザーを外したい場合は、removemembersとします。

ユーザーは複数のグループに所属することができます。

WindowsPCをドメインに参加させる

PCをドメインに参加させるには、まずDNSサーバーの設定をドメインコントローラーのIPアドレスにします。

そのうえで、「コントロールパネル」「システム」「システムの詳細設定」と進み、「コンピューター名」のタブより「コンピューター名を変更したりドメインに参加したりするには[変更]をクリックしてください。の「変更」を押します。

所属するグループに、Sambaドメインコントローラーに設定したドメイン名を入力してください。

「OK」を押すと、ドメインのユーザー名とパスワードを求めれれますので入力します。

Windows10ドメインへ参加

設定が正常に終了すると、再起動を求められるので再起動します。

Windowsのログイン時は、「他のユーザー」を選択し、ドメイン名\ユーザー名+パスワードでログインすることでドメインに参加した状態となります。

下段に「接続先:」と表示されていて、ドメイン名が表示されている場合で、そのドメインに接続したい場合はドメイン名は省略できますが、Administratorと入力すると自動的にローカル環境に接続しに行くようなので、ドメインのAdministratorにログインをする際はドメイン名をつけて入力しましょう。

逆に元のローカル環境にログインしたい場合は、PC名\ユーザー名とします。

元のPC名を忘れてしまった場合は、「別のドメインに接続するには」の文字をクリックすると表示してくれます。

WindowsからSambaドメインコントローラーを管理

WindowsからSambaドメインコントローラーを管理するために、Microsfotのページからツールをダウンロードします。筆者の環境では1803 x86版をダウンロードしました。

インストールするとスタートメニューの「Windows管理ツール」内にActive Directory関連のツールが入ります。これらを使って管理ができます。

ユーザーやグループの追加や変更は、「Active Directory ユーザーとコンピュータ」から行えます。ドメイン「Users」を右クリックして新規作成から、ユーザーやグループを作成しできます。右側のペインから対象のユーザーを右クリック「グループに追加」を選択後参加させたいグループを入力することでグループ登録ができます。

グループポリシーはユーザーに対して行うものとコンピューターに対して行うものがありますが、ユーザー毎の設定を例にします。Active Directory ユーザーとコンピュータの左側のペインを右クリックして、「新規作成」、「組織単位(OU)」を選択して名前を付けます。作成するルールを適用したユーザーをusersの中からドラッグ&ドロップで作成したOUに移動させます。

Active Directory ユーザーとコンピュータ

つぎにツールを切り替えます。「グループポリシーの管理」ツールを開き、「グループポリシーオブジェクト」を作成します。

「フォレスト」「ドメイン」の対象ドメインにある「グループポリシーオブジェクト」を選択して右クリック「新規作成」とします。

名前にわかりやすいものをつけます。ここでは「LANの設定変更禁止」とします。作成したオブジェクトを右クリックして「編集」を選択します。

「ユーザーの構成」、「ポリシー」、「管理用テンプレート」、「ネットワーク」、「ネットワーク接続」の中に「LAN接続のプロパティへのアクセスを禁止する」という項目がありますので、ダブルクリックして有効を選択します。

今回はユーザーに対して設定しましたが、コンピューター毎に設定する項目は場合は「コンピューターの構成」の方から選択します。

先のツールで作成したOUがこちらのツールでも表示されていると思います。作成ポリシーオブジェクトをOUへドラック&ドロップします。

グループポリシーの作成と適用

この状態で、OUで設定したユーザーからアクセスし、LANのプロパティを開こうとするとグレーアウトしていて選択できなくなっています。

グループポリシーを適用した結果

参考にさせていただいたサイトです。ありがとうございました。

@IT:基礎から分かるグループポリシー再入門

筆者紹介


自分の写真
がーふぁ、とか、ふぃんてっく、とか世の中すっかりハイテクになってしまいました。プログラムのコーディングに触れることもある筆者ですが、自分の作業は硯と筆で文字をかいているみたいな古臭いものだと思っています。 今やこんな風にブログを書くことすらAIにとって代わられそうなほど技術は進んでいます。 生活やビジネスでPCを活用しようとするとき、そんな第一線の技術と比べてしまうとやる気が失せてしまいがちですが、おいしいお惣菜をネットで注文できる時代でも、手作りの味はすたれていません。 提示されたもの(アプリ)に自分を合わせるのでなく、自分の活動にあったアプリを作る。それがPC活用の基本なんじゃなかと思います。 そんな意見に同調していただける方向けにLinuxのDebianOSをはじめとした基本無料のアプリの使い方を紹介できたらなと考えています。

広告