ドメインユーザー作成・ログオン設定方法〜概要編〜（Windows Server 2012 R2評価版）

ドメインユーザーを作成し、作成したユーザーでログインできるようにしてみます。

■今回のミッション
・新規ユーザを作成し、クライアントPCからログオンできること
・ポリシーを設定できること

Step１．ユーザーとグループの作成

（１）サーバーマネージャーを開き、「ツール」を選択し「Active Directory ユーザーとコンピューター」をクリックします。

（２）Active Directory ユーザーとコンピューター画面が開くので、「ドメイン名（今回の場合はhogehoge.domain.local）」を右クリックし「新規作成」→「組織単位（OU）」をクリックします。
※実際の運用では、支店や部署によってユーザーの権限を分けたい等の要件が出てくるかと思います。そういった場合は、この組織単位(OU)でユーザーやグループを管理したほうが、効率的になります。

（３）任意の組織名を入力し、「OK」をクリックします。

（４）左ペインに新しい組織（OU）が作成されるので、右クリックで「新規作成」→「ユーザー」をクリックします。

（５）任意のユーザー名とログオン名を入力し、「次へ」をクリックします。

（６）任意のパスワードを入力し、パスワードオプションを選択し「次へ」をクリックします。
※今回の場合は、ユーザーにここで設定した初期パスワードを変更させるために、「ユーザーは次回ログオン時にパスワード変更が必要」にチェックを入れています。

（７）確認画面が表示されるので、「完了」をクリックします。

（８）画面のように作成したユーザーが表示されます。

（９）ユーザー作成時と同様に右クリックし、「新規作成」→「グループ」をクリックします。

（１０）任意のグループ名を入力し、グループのスコープは「グローバル」、グループの種類は「セキュリティ」のまま、「OK」をクリックします。
※「グループのスコープ（範囲）」について
・ドメインローカル：参照可能範囲はドメイン内。フォレスト内のグローバルグループとユニバーサルグループ、ユーザーが設定可能。リソースに対する権利やアクセス許可を割り当てるために使用されるが、別ドメインのユーザーに割り当てる場合もある。
・グローバル：参照可能範囲はフォレスト全体。ドメイン内のグローバルグループ、ユーザーが設定可能。ドメインのユーザーをまとめるために使用される。
・ユニバーサル：参照可能範囲はフォレスト全体。フォレスト内のグローバルグループとユニバーサルグループ、ユーザーが設定可能。特定のドメインに依存しないグルーピング情報を、複数のドメインから参照する場合に使用する。
※「グループの種類」について
・セキュリティ：通常作成されるグループ・アカウント。ファイルやリソースのアクセス権設定などで利用される。
・配布：電子メール・アプリケーションなどで利用される、特殊なグループ・アカウント。

（１１）画面のように作成したグループが表示されます。

（１２）作成したグループを選択した状態で右クリックし、「プロパティ」をクリックします。

（１３）「メンバー」タブを選択し、「追加」をクリックします。

（１４）作成したユーザー名を入力し、「名前の確認」をクリックします。

（１５）作成したユーザーが表示されることを確認し、「OK」をクリックします。

（１６）ユーザーが追加されていることを確認し、「OK」をクリックします。

Step２．ポリシーの設定

（１）サーバーマネージャーを開き、「ツール」を選択し「グループポリシーの設定」をクリックします。

（２）Step1で作成したOU（今回の場合はTokyoHonsya）を選択した状態で右クリックし、「このドメインにGPOを作成し、このコンテナーにリンクする」をクリックします。

（３）任意のGPO名を入力し、「OK」をクリックします。

（４）作成されたGPOをクリックすると、下記のようなメッセージが表示されます。

（５）GPO名を選択した状態で右クリックし、「編集」をクリックします。

（６）グループポリシー管理エディターが開きます。
「コンピューターの構成」と「ユーザーの構成」は、同じような項目で構成されていますが、「コンピューターの構成」は社内の共有PCなど特定のPCにポリシーを適用したい場合、「ユーザーの構成」はグループやアカウントでポリシーを適用したい場合に使用します。
今回は、Step1で作成したユーザーにポリシーを適用したいので、「ユーザーの構成」を行います。