はじめに
今回は、Active DirectoryにOUとユーザーを作成します。これにより、ユーザーの一元管理や各種アプリケーションでActive Director認証に利用できます。
検証環境
Active Directorサーバの構成は、以前に作成した下記の通りです。
| サーバ環境 | OS | Windows Server 2019(評価版) |
| ホスト名 | win2019-01 | |
| ドメイン名 | ad.right8se.blog | |
| IPアドレス | 192.168.0.10 |
今回作成するOUの構成と作成するユーザー情報は、下記の通りです。
※検証用に定義した架空の情報です。
| OU | ユーザーログオン名 | 姓 | 名 | メールアドレス | 部署 |
| staff | s23001@ad.right8se.blog | 一ノ瀬 | 中 | ataru_ichinose@right8se.blog | 営業部 |
| staff | s23002@ad.right8se.blog | 二宮 | 二己 | niko_ninomiya@right8se.blog | 営業部 |
| staff | s23003@ad.right8se.blog | 三宅 | 遊児 | yuuzi_miyake@right8se.blog | 技術部 |
| staff | s23004@ad.right8se.blog | 四方 | 投矢 | touya_sikata@right8se.blog | 技術部 |
| staff | s23005@ad.right8se.blog | 五十嵐 | 一 | hazime_igarasi@right8se.blog | 総務部 |
| staff | s23006@ad.right8se.blog | 六角 | 三太 | santa_musumi@right8se.blog | 人事部 |
| partner | p23007@ad.right8se.blog | 七尾 | 左為 | sai_nanao@right8se.blog | 技術部 |
| partner | p23008@ad.right8se.blog | 八神 | 右 | raito_yagami@right8se.blog | 技術部 |
| partner | p23009@ad.right8se.blog | 九里 | 捕久斗 | hokuto_kunori@right8se.blog | 総務部 |
| partner | p23010@ad.right8se.blog | 河島 | 南 | minami_kawasima@right8se.blog | 人事部 |
| Users | ldapadmin@ad.right8se.blog | – | – | – | – |
作業内容
OUの作成
(1) [サーバー マネージャー]のメニューより、[ツール] – [Active Directory ユーザーとコンピューター]をクリックします。
(2) OUを作成するコンテナーを選択して、メニュー上のOU作成アイコンをクリックします。
(3) 作成するOUの名前「staff」を入力して、[OK]をクリックします。
(4) OUが作成されたことを確認します。
※同様にOU「partner」も作成します。「Users」はデフォルトのコンテナーとして存在します。
ユーザーの作成(GUI)
(1) ユーザーを作成する対象コンテナー(OU)を選択して、メニュー上のユーザー作成アイコンをクリックします。
(2) 必要情報を入力の上、[次へ]をクリックします。
(3) 初回ログオン時のパスワードを入力して、[次へ]をクリックします。
(4) [完了]をクリックします。
(5) 作成したユーザーを選択し、[右クリック] – [プロパティ]を選択します。
※ユーザー作成時には入力できない各種プロパティを設定します。
(6) [電子メール]を入力します。
(7) [組織]タブを選択し、[部署]を入力して[OK]をクリックします。
(8) GUI操作での一般ユーザー作成は、以上となります。
(9) 続けて、LDAP連携用アカウントを作成します。必要情報を入力して[次へ]をクリックします。
(10) LDAP連携用の為、パスワード関連の設定を変更して[次へ]をクリックします。
・ユーザーは次回ログイン時にパスワード変更が必要: 無効
・パスワードを無期限にする: 有効
(11) [完了]をクリックします。これでLDAP連携用アカウント作成は以上となります。
ユーザーの作成(Power Shell)
大量のユーザーを作成する場合、GUI操作では時間がかかりミスも起こりやすい為、通常はPower Shellなどで作成します。
(1) Windowメニューの[Windows PowerShell] – [Windows PowerShell]を選択します。
(2) 次のコマンドを実行して、1ユーザを作成します。
※初期パスワードは全ユーザー同じとして、次回ログイン時にパスワード変更を必須とします。
> $pwd = ConvertTo-SecureString "P@ssw0rd01!" -AsPlainText -Force
> New-ADUser -Name "二宮 二己" `
-UserPrincipalName "s23002@ad.right8se.blog" `
-SamAccountName "s23002" `
-Path "OU=staff,DC=ad,DC=right8se,DC=blog" `
-Surname "二宮" `
-GivenName "二己" `
-DisplayName "二宮 二己" `
-EmailAddress "niko_ninomiya@right8se.blog" `
-Department "営業部" `
-AccountPassword $pwd `
-ChangePasswordAtLogon $true `
-Enabled $true(3) GUI操作と同様にPower Shellでユーザーが作成されます。
(4) 残りのユーザーも同様にPower Shellコマンドで一括作成します。
> $pwd = ConvertTo-SecureString "P@ssw0rd01!" -AsPlainText -Force
> New-ADUser -Name "三宅 遊児" -UserPrincipalName "s23003@ad.right8se.blog" -SamAccountName "s23003" -Path "OU=staff,DC=ad,DC=right8se,DC=blog" -Surname "三宅" -GivenName "遊児" -DisplayName "三宅 遊児" -EmailAddress "yuuzi_miyake@right8se.blog" -Department "技術部" -AccountPassword $pwd -ChangePasswordAtLogon $true -Enabled $true
> New-ADUser -Name "四方 投矢" -UserPrincipalName "s23004@ad.right8se.blog" -SamAccountName "s23004" -Path "OU=staff,DC=ad,DC=right8se,DC=blog" -Surname "四方" -GivenName "投矢" -DisplayName "四方 投矢" -EmailAddress "touya_sikata@right8se.blog" -Department "技術部" -AccountPassword $pwd -ChangePasswordAtLogon $true -Enabled $true
> New-ADUser -Name "五十嵐 一" -UserPrincipalName "s23005@ad.right8se.blog" -SamAccountName "s23005" -Path "OU=staff,DC=ad,DC=right8se,DC=blog" -Surname "五十嵐" -GivenName "一" -DisplayName "五十嵐 一" -EmailAddress "hazime_igarasi@right8se.blog" -Department "総務部" -AccountPassword $pwd -ChangePasswordAtLogon $true -Enabled $true
> New-ADUser -Name "六角 三太" -UserPrincipalName "s23006@ad.right8se.blog" -SamAccountName "s23006" -Path "OU=staff,DC=ad,DC=right8se,DC=blog" -Surname "六角" -GivenName "三太" -DisplayName "六角 三太" -EmailAddress "santa_musumi@right8se.blog" -Department "人事部" -AccountPassword $pwd -ChangePasswordAtLogon $true -Enabled $true
> New-ADUser -Name "七尾 左為" -UserPrincipalName "p23007@ad.right8se.blog" -SamAccountName "p23007" -Path "OU=partner,DC=ad,DC=right8se,DC=blog" -Surname "七尾" -GivenName "左為" -DisplayName "七尾 左為" -EmailAddress "sai_nanao@right8se.blog" -Department "技術部" -AccountPassword $pwd -ChangePasswordAtLogon $true -Enabled $true
> New-ADUser -Name "八神 右" -UserPrincipalName "p23008@ad.right8se.blog" -SamAccountName "p23008" -Path "OU=partner,DC=ad,DC=right8se,DC=blog" -Surname "八神" -GivenName "右" -DisplayName "八神 右" -EmailAddress "raito_yagami@right8se.blog" -Department "技術部" -AccountPassword $pwd -ChangePasswordAtLogon $true -Enabled $true
> New-ADUser -Name "九里 捕久斗" -UserPrincipalName "p23009@ad.right8se.blog" -SamAccountName "p23009"-Path "OU=partner,DC=ad,DC=right8se,DC=blog" -Surname "九里" -GivenName "捕久斗" -DisplayName "九里 捕久斗" -EmailAddress "hokuto_kunori@right8se.blog" -Department "総務部" -AccountPassword $pwd -ChangePasswordAtLogon $true -Enabled $true
> New-ADUser -Name "河島 南" -UserPrincipalName "p23010@ad.right8se.blog" -SamAccountName "p23010" -Path "OU=partner,DC=ad,DC=right8se,DC=blog" -Surname "河島" -GivenName "南" -DisplayName "河島 南" -EmailAddress "minami_kawasima@right8se.blog" -Department "人事部" -AccountPassword $pwd -ChangePasswordAtLogon $true -Enabled $true(5) 全てのユーザーが作成されたことを確認します。
(6) 次のコマンドで、作成した全ユーザーを一覧で確認するができます。
> Get-ADUser -Filte { UserPrincipalName -like "*" } -Properties * | Select-Object Name,UserPrincipalName,sAMAccountName,mail,Department | Format-Table
Name UserPrincipalName sAMAccountName mail Department
---- ----------------- -------------- ---- ----------
七尾 左為 p23007@ad.right8se.blog p23007 sai_nanao@right8se.blog 技術部
八神 右 p23008@ad.right8se.blog p23008 raito_yagami@right8se.blog 技術部
九里 捕久斗 p23009@ad.right8se.blog p23009 hokuto_kunori@right8se.blog 総務部
河島 南 p23010@ad.right8se.blog p23010 minami_kawasima@right8se.blog 人事部
一ノ瀬 中 s23001@ad.right8se.blog s23001 ataru_ichinose@right8se.blog 営業部
二宮 二己 s23002@ad.right8se.blog s23002 niko_ninomiya@right8se.blog 営業部
三宅 遊児 s23003@ad.right8se.blog s23003 yuuzi_miyake@right8se.blog 技術部
四方 投矢 s23004@ad.right8se.blog s23004 touya_sikata@right8se.blog 技術部
五十嵐 一 s23005@ad.right8se.blog s23005 hazime_igarasi@right8se.blog 総務部
六角 三太 s23006@ad.right8se.blog s23006 santa_musumi@right8se.blog 人事部ユーザー一覧の表示列追加
[Active Directory ユーザーとコンピューター]で表示されるデフォルトのプロパティ情報が少ないため、今回設定したプロパティ情報が一覧で見れるように表示列を追加します。
(1) [Active Directory ユーザーとコンピューター]のメニューより、[表示] – [列の追加と削除]を選択します。
(2) [利用可能な列]から一覧に表示する項目を選択して、[追加]をクリックします。
(3) 表示したい項目を[表示する列]に全て追加して、[OK]を押下します。
(4) 追加したプロパティ情報を含みユーザー情報が一覧で確認できます。
あとがき
Active Directoryのユーザー作成が完了しましたので、次回はLinuxサーバでKerberos認証設定やZabbixサーバでのLDAP認証などを設定していきたいと思います。
