2-2.ドメインユーザー作成・ログオン設定方法〜概要編〜(Windows Server 2012 R2評価版)

PC-flat-256
ドメインユーザーを作成し、作成したユーザーでログインできるようにしてみます。



■今回のミッション
・新規ユーザを作成し、クライアントPCからログオンできること
・ポリシーを設定できること

Step1.ユーザーとグループの作成


(1)サーバーマネージャーを開き、「ツール」を選択し「Active Directory ユーザーとコンピューター」をクリックします。
ad_001

(2)Active Directory ユーザーとコンピューター画面が開くので、「ドメイン名(今回の場合はhogehoge.domain.local)」を右クリックし「新規作成」→「組織単位(OU)」をクリックします。
※実際の運用では、支店や部署によってユーザーの権限を分けたい等の要件が出てくるかと思います。そういった場合は、この組織単位(OU)でユーザーやグループを管理したほうが、効率的になります。
ad_002

(3)任意の組織名を入力し、「OK」をクリックします。
ad_003

(4)左ペインに新しい組織(OU)が作成されるので、右クリックで「新規作成」→「ユーザー」をクリックします。
ad_004

(5)任意のユーザー名とログオン名を入力し、「次へ」をクリックします。
ad_005

(6)任意のパスワードを入力し、パスワードオプションを選択し「次へ」をクリックします。
※今回の場合は、ユーザーにここで設定した初期パスワードを変更させるために、「ユーザーは次回ログオン時にパスワード変更が必要」にチェックを入れています。
ad_006

(7)確認画面が表示されるので、「完了」をクリックします。
ad_007

(8)画面のように作成したユーザーが表示されます。
ad_008

(9)ユーザー作成時と同様に右クリックし、「新規作成」→「グループ」をクリックします。
ad_009

(10)任意のグループ名を入力し、グループのスコープは「グローバル」、グループの種類は「セキュリティ」のまま、「OK」をクリックします。
※「グループのスコープ(範囲)」について
・ドメインローカル:参照可能範囲はドメイン内。フォレスト内のグローバルグループとユニバーサルグループ、ユーザーが設定可能。リソースに対する権利やアクセス許可を割り当てるために使用されるが、別ドメインのユーザーに割り当てる場合もある。
・グローバル:参照可能範囲はフォレスト全体。ドメイン内のグローバルグループ、ユーザーが設定可能。ドメインのユーザーをまとめるために使用される。
・ユニバーサル:参照可能範囲はフォレスト全体。フォレスト内のグローバルグループとユニバーサルグループ、ユーザーが設定可能。特定のドメインに依存しないグルーピング情報を、複数のドメインから参照する場合に使用する。
※「グループの種類」について
・セキュリティ:通常作成されるグループ・アカウント。ファイルやリソースのアクセス権設定などで利用される。
・配布:電子メール・アプリケーションなどで利用される、特殊なグループ・アカウント。
ad_010

(11)画面のように作成したグループが表示されます。
ad_011

(12)作成したグループを選択した状態で右クリックし、「プロパティ」をクリックします。
ad_012

(13)「メンバー」タブを選択し、「追加」をクリックします。
ad_013

(14)作成したユーザー名を入力し、「名前の確認」をクリックします。
ad_014

(15)作成したユーザーが表示されることを確認し、「OK」をクリックします。
ad_015

(16)ユーザーが追加されていることを確認し、「OK」をクリックします。
ad_016

Step2.ポリシーの設定

(1)サーバーマネージャーを開き、「ツール」を選択し「グループポリシーの設定」をクリックします。
ad_017

(2)Step1で作成したOU(今回の場合はTokyoHonsya)を選択した状態で右クリックし、「このドメインにGPOを作成し、このコンテナーにリンクする」をクリックします。
ad_018

(3)任意のGPO名を入力し、「OK」をクリックします。
ad_019

(4)作成されたGPOをクリックすると、下記のようなメッセージが表示されます。
ad_020

(5)GPO名を選択した状態で右クリックし、「編集」をクリックします。
ad_021

(6)グループポリシー管理エディターが開きます。
「コンピューターの構成」と「ユーザーの構成」は、同じような項目で構成されていますが、「コンピューターの構成」は社内の共有PCなど特定のPCにポリシーを適用したい場合、「ユーザーの構成」はグループやアカウントでポリシーを適用したい場合に使用します。
今回は、Step1で作成したユーザーにポリシーを適用したいので、「ユーザーの構成」を行います。
ad_022

(7)設定するポリシーをダブルクリックします。
設定するポリシーを選択すると、点線枠のように、対応しているバージョンや項目の詳細を確認できます。
※今回の場合は、IEの「既定でメニューバーをオンにする」を設定します。
ad_023

(8)設定するポリシーで、構成したい状態にチェックし「OK」をクリックします。
ad_024

(9)設定が反映されたことを確認できます。
ad_025

(10)グループポリシーの管理画面に戻り、作成したGPO名の「セキュリティフィルター処理」項目の「追加」をクリックします。
ad_026

(11)作成したグループ名を入力し、「名前の確認」をクリックします。
ad_027

(12)作成したグループ名が表示されることを確認し、「OK」をクリックします。
ad_028

(13)作成したグループが追加されていることを確認できます。
ad_029

Step3.作成したユーザーでクライアントPCよりログイン


ドメインに参加済みのクライアントPCより、作成したユーザーでログインできることを確認します。

(1)ログオン画面で、ユーザー名とパスワードを入力します。
※キャプチャを取るために、サーバーの画面を使用しています
cl_001

(2)ログオンに成功すると、Step1で設定した「ユーザーは次回ログオン時にパスワード変更が必要」により、パスワード変更を求める画面が表示されます。
※キャプチャを取るために、サーバーの画面を使用しています
cl_002

(3)初期パスワードと変更するパスワードを入力します。
cl_003

(4)パスワードの変更が成功すると、再びログイン画面に戻るので、変更したパスワードでログインします。

(5)ログインできたことを確認します。
cl_004

Step2で設定したポリシーが適用されているので、IEを起動し右クリックしても「メニューバー」が表示されていません。
cl_005

ちなみに、このポリシーを適用していない時は、下記画面のように「メニューバー」が表示することができます。
cl_006
cl_007

実際の環境によって、OUやグループ、ポリシーの構成方法も大きく変わることも有りますが、ユーザー作成の基本的な流れは、上記のような感じになるかと思います。

■Tipsリスト
Windows Server > Windows Server 2012 R2 > 2.Active Directoryのインストールと設定



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です