AzureActiveDirectoryDomainServicesを試してみる2

JMT西森です。

前回に続き、今回は何がどこまで出来るのか、
色々とAADDSの環境を見ていきたいと思います。

 

なお Azure Console 上では、Domain Services に関する操作はほぼ何もできません。

そこで、普段ADを管理する上で使用する各種ツール群が使えるのかどうかを試してみます。

新たにAD管理用でVMを作るのは面倒なので、前回使用したVMをAD管理用として使いたいと思います。

なお画像内の名称等、前回と一部異なる部分がありますが、大人の事情で環境をリビルドしたせいです、察してください。

 

最初にまず訂正があります…。
AADDSの機能をフルで活用するには、AAD用の管理者グループを作成し、
さらにユーザーをその管理者グループに追加する必要がありました…。

Azure Console上で、管理者グループの作成及びユーザーの登録を行います。

20151026_001

名称は必ず「AAD DC Administrators」と指定する必要があります。

20151026_901

グループの詳細画面に入り、メンバーの追加でユーザーを追加します。

20151026_902

ほんとはこれを前回の最初にすべきだったんですけど…結果オーライ!

 

次にVM上でAD管理ツール群が使えるようにしましょう。
サーバーマネージャーから機能を追加していきます。

サーバーマネージャーの右上にある「管理」から
「役割と機能の追加」を選び、以下の機能を追加します。
・Remote Server Administration Tools -> Role Administration Tools
-> AD DS and AD DS Tools -> AD DS Tools
・Group Policy Management

以後、ログインユーザーは上記「AAD DC Administratos」に追加したユーザーで実施する必要があります。

そのため、上記ユーザーでリモートデスクトップログインして以下を実施します。

 

ちなみに余談ですが、ドメイン参加したマシンでは、「AAD DC Administratos」に
ローカルのAdministorator権限を付与することになっています。

20151026_999

そのため、上記で追加したユーザーは、ドメイン参加しているマシンすべての
管理者権限を持っている ということに注意してください。

 

インストールが完了したら、管理ツールを開きます。
試しに「Active Directory Users and Computers」を起動します。

20151026_007

「Domain Controllers」や「System」等のOUオブジェクトが表示されません。
参照権限が与えられていないようです。

20151026_008

20151026_009
「AAD DC Computers」にComputerオブジェクトがありますね。
なお通常の「Computers」OUには何もオブジェクトがありません。

20151026_010

20151026_011

Azure Console で作成したユーザーオブジェクトが「AAD DC Users」OU以下にあります。
逆に通常の「Users」OU以下によく見るユーザーやグループオブジェクトがあります。

AADDSのユーザーやグループ、コンピューターオブジェクトは、この「AAD DC XXX」の
OUの下に作成されているようです。

なおユーザーやグループ、OU等のオブジェクトを、ここで作成・更新することはできません。

これはAADDSの仕様上、そうなっているようです。

※追記:再度確認したところ、「AAD DC Computers」OU以下に、「Computer」オブジェクトのみ作成することが出来ました

 

次は「Active Directory Sites and Services」を起動してみましたが、エラーが出ました。
詳細はここでは載せませんがattribute云々言われたので、上と同じく権限周りかなと。

 

今度は「Active Directory Domains and Trusts」を起動してみました。
正常に起動したので、そのままプロパティを確認してみました。

20151026_012

ドメインの機能レベルは「Windows Server 2012 R2」のようですが、
フォレストの機能レベルは表示されません。これも仕様でしょうね。

 

次は気になるグループポリシー!起動させましょう。
デフォルトのグループポリシーに加え、「AADDC Computers GPO」
「AADDC Users GPO」があるみたいですので、中身をみてみます。

20151026_013

administratorsというグループが存在するだけですね。
「AADDC Computers」というOUにリンクされています。

20151026_014

何も設定されていませんでした。
「AADDC Users」というOUにリンクされています。

なお、デフォルトのGPOである「Default Domain Controller Policy」及び
「Default Domain Policy」には、変更権限がありません。
右クリックしても、「Edit」の部分がグレーアウトされています。
また、新しいGPOを作成することもできません。

しかし「AADDC Computers GPO」「AADDC Users GPO」については
右クリック->Editで変更が可能です。

またドメインコントローラについてですが、本環境ですと1台構成のようです。

20151026_015

他に検証されている方のブログでは4つと記載があるようなので、今回とは違うようです。
またこのブログを書く前に一回ためしに作った環境だと、ADは2サーバーありました。
リージョンやタイミングによって変わるのか?…でも1台だと耐障害性が…うーん…。

 

今回はここまで。最後に軽くまとめてみると…
・Azure VMをドメイン参加させることは可能
・ユーザーやグループの作成はAzure Consoleのみ
・GPOの新規作成やデフォルトGPOの更新は不可
・AADDC用のGPOは更新可能、但しコンピューターやユーザーごとに1つのみ
という感じでした。

 

シンプルなGPOで管理されている事業者様であれば、十分使えそうな印象ですが…。
やはりOUやGPOは複数作成したいところです。今後に期待ですね。

LINEで送る