EC部の荒井です。
案件で AD Connector + Amazon WorkSpaces を利用する予定があり、AD サーバ側で必要となる作業について調査したので記事にしようと思います。 AD Connector を利用して AD サーバに接続するためには、コンピュータオブジェクトとユーザオブジェクトに読み書き可能なサービスアカウントが必要となります。
作業環境
- ADサーバ
- OS:Windows_Server-2022-English
注意点
実際に AD Connector を利用する際には、特定ポートの通信を許可するなどの設定が必要となりますが、本記事では割愛します。
手順
(1) AD サーバにログインし、ウィンドウズメニューから[Windows Administrative Tools]→[Active Directory User and Computers]をクリックします。
(2) 追加したいドメインルートを選択し、[Users] をクリックします。リボンメニューからグループ追加ボタンをクリックします。
今回は公式ドキュメントに準じて Connectors というグループ名を設定しました。
また Group scope は Global、Group type は Security としています。
(3) ドメインルートを右クリックし、[Delegate Control] をクリックします。
(4) ウィザードが表示されるので次へをクリックし、[Add] をクリックします。
(5) 2で作成したグループ名を入力し、[Check Names] をクリックした後に [OK] をクリックします。
(6) 追加したグループが表示されているのを確認後、[Next] をクリックします。
(7) [Create a custom task to delegate] を選択し、[Next] をクリックします。
(8) [Only the following objects in the folder] を選択し、"Computer objects" と "User objects"を選択します。[Create selected objects in this folder] と [Delete selected objects in this folder]を選択し、[Next] をクリックします。
(9) [General] と [Property-specific] を設定し、Permissons に [Read] と [Write] を選択し [Next] をクリックします。
(※今回は Workspaces からの利用を想定しているため、書き込み(Write)アクセス許可も有効にします。)
(10) 設定に問題ないことを確認し、[Finish] をクリックします。
(11) 画面上部リボンからユーザ追加をクリックします。ユーザ名に指定はありませんが、今回は ADadmin としました。
(12) パスワードの永続化を行います。パスワードを入力した後 [User must change password at next logon] のチェックを外し、[User cannot change password] にチェックを入れ、[Next] をクリックします。
(13) 設定に問題ないことを確認し、[Finish] をクリックします。
(14) 作成したユーザ(ADadmin)を右クリックし、Properties をクリックします。タブから [Menber Of] を選択し、[Add] をクリックします。
(15) 作成したグループ名(Connectors)を入力し、[Check Names] → [OK] をクリックします。
(16) グループに追加されていることを確認し、設定完了です。
おわりに
ドキュメントを見ただけでは作業のイメージが掴みにくかったですが、実際にやってみることで何をやっているかを正しく掴めたのかなと思います。
実際に運用する際は要件に応じてグループポリシーオブジェクトを設定する必要があるかと思われます。
弊社の宮形がWorkSpaces 用のグループポリシーテンプレートを入手して利用開始できるまでの手順について紹介しておりますので、必要に応じてご確認頂けますと幸いです。
荒井 泰二郎 (記事一覧)
2023年8月入社 最近ジムに通い始めました