OCI上にADを構築してみた

こんにちは。Oracle Cloud Infrastructure(OCI)特集 編集部です。

今回はOCI上にあるWindowsサーバーにAD(ActiveDirectory)を構築します。
全体的な作業内容としては、ADを作成した後、ユーザーのデスクトップにこのブログへのショートカットを表示させるグループポリシーを適用させます。
本当はデスクトップの壁紙を変更したかったのですが、変更した場合、リモートデスクトップ上では真っ暗な画面になってしまいます。
ですので、今回はデスクトップ上に対象のショートカットを表示させる方法でいきたいと思います。

以下の手順で設定をします。

【作業の流れ】


前提 
Windowsサーバーの環境情報は以下の通りです。
■Webサーバー
OS       :Windows Server 2016 SE


  1. AD機能の追加
  2. ドメインコントローラーへの昇格
  3. OU、ユーザー、GPOの作成
  4. ショートカットの追加

AD機能の追加

WindowsサーバーにADの機能を追加します。

スタートボタン⇒「サーバーマネージャー」を選択します。

「役割と機能の追加」を選択します。

「次へ」を選択します。

「役割ベースまたは機能ベースのインストール」を選択し、「次へ」を選択します。

「サーバープールからサーバーを選択」を選択します。対象のサーバーであるか確認し、「次へ」を選択します。

「ActiveDirectoryドメインサービス」を選択します。

「機能の追加」を選択します。

「ActiveDirectoryドメインサービス」にチェックがついたことを確認し、「次へ」を選択します。

インストールしたい機能があれば、選択してください。
今回は特に追加をしないので、何も選択せず「次へ」を選択します。

「次へ」を選択します。

「必要に応じて対象サーバーを自動的に再起動する」を選択します。
チェックがついたことを確認したら、「インストール」を選択します。

インストールが開始され、しばらくするとインストールが正常に完了します。
完了したことを確認したら、「閉じる」を選択します。

ドメインコントローラーへの昇格

サーバーマネージャーの画面右上に!アイコンがありますので、そのアイコンを選択します。

「このサーバーをドメインコントローラーに昇格する」を選択します。

「新しいフォレストを追加する」を選択します。
ルートドメイン名に、名前を入力します。
「次へ」を選択します。

任意のパスワードを2回入力し、「次へ」を選択します。

特に何も選択せず、「次へ」を選択します。

デフォルトで文字が入っていることを確認し、変更が特になければ「次へ」を選択します。

特に何も選択せず、「次へ」を選択します。

問題がないことを確認し、「次へ」を選択します。

前提条件のチェックに進んだところで、不合格だったためインストールすることが出来ませんでした…(証跡を撮り忘れました)

エラーメッセージを確認すると、Administratorのパスワードが設定されていなかったことが原因でした。
以下、パスワードの設定をしていきます。前提条件のチェックに合格された方は下記の手順は不要です。


スタートボタンを右クリックし、「コンピューターの管理」を選択します。

「ローカルユーザーとグループ」下にある「ユーザー」を選択します。

Administratorsを右クリックし、「パスワードの設定」を選択します。

「続行」を選択します。

任意のパスワードを2回入力し、「OK」を選択します。

「OK」を選択します。

以上で、パスワードの設定が完了されました。


前提条件のチェックに合格したことを確認し、「インストール」を選択します。

昇格処理が行われると、自動的に再起動がかかります。
少し時間が経った後に、再度リモートデスクトップ接続をしてください。

OU、ユーザー、GPOの作成

OUの作成

コントロールパネル⇒管理ツール⇒「ActiveDirectoryユーザーとコンピューター」を選択します。

対象のドメインを右クリックし、「新規作成」⇒「組織単位(OU)」を選択します。

任意の名前を入力します。(ここではユーザー単位のOUと入力しました)
「間違って削除されないようコンテナーを保護する」を選択し、チェックがついたことを確認します。
確認が出来たら、「OK」を選択します。

ユーザーの作成

サーバマネージャー画面右上にある「ツール」⇒「ActiveDirectory管理センター」を選択します。

対象のドメインを選択し、「Users」ディレクトリを選択します。
ツールバーに「ユーザーの追加」アイコン(人のアイコン)がありますので、それを選択します。

以下の情報を入力し、「次へ」を選択します。

:(例)テクバン

:(例)太郎

ユーザーログオン名:(例)techvantarou

任意のパスワードを2回入力し、「次へ」を選択します。

問題がなければ、「完了」を選択します。

ActiveDirectory管理センターに戻り、作成したユーザーがいることを確認します。

作成したユーザーを選択し、先ほど作成したOUにドラッグ&ドロップをします。これでユーザーをOU直下に置くことが出来ました。

GPOの作成

GPO(グループポリシーオブジェクト)とはポリシーの集合体を指します。

コントロールパネル⇒管理ツール⇒「グループポリシーの管理」を選択します。

「グループポリシーオブジェクト」を右クリックし、「新規」を作成します。

任意の名前(ここではOCI検証)を入力し、「OK]を選択します。

ショートカットの追加

作成したGPOを右クリックし、「編集」を選択します。

「ユーザーの構成」⇒「基本設定」⇒「Windowsの設定」を選択します。

「ショートカット」を右クリックし、「新規作成」⇒「ショートカット」を選択します。

デスクトップ上のショートカットを選択すると、こちらのブログに飛ぶような設定にしたいと思います。

以下の情報を入力し、「OK」を選択します。

アクション:更新

名前:(例)テクバンブログ

ターゲットの種類:(例)URL

場所:(例)デスクトップ

ターゲットURL:(例)https://blogs.techvan.co.jp/oci/

管理画面に戻り、対象のGPOを選択し、設定タブを選択します。設定が反映されていることを確認します。

作成したGPOをOUにリンクさせます。(リンクをさせないと効果を発揮しません)

グループポリシーの管理画面から、対象のOUを右クリックし、「既存のGPOのリンク」を選択します。

作成したGPOを選択し、「OK」を選択します。

設定が完了しました。それでは確認をしていきたいと思います。

作成したユーザーでリモートデスクトップ接続をします。

デスクトップ上にショートカットがあることを確認します。

無事に設定したURLにアクセスできることを確認します。

特に操作で止まることもなく、サクサクと設定が出来ました。AD機能を追加することにより、グッと便利になりますね。ADは一旦設定をすると、やり直しが難しいところですが、クラウド上であれば簡単に設定が出来、使わなくなったらインスタンスごと削除してしまえば良いので、検証や決まった期間内で使うのであれば相性が良いのではないでしょうか。

またAD単体でも便利ですが、IDCSに連携すればADに登録したユーザーの情報でOCIにログインすることも可能になります。
このAD検証で終わらせず、連携についての検証についてもいずれ挑戦できればと思います。