CS部の伊藤です。
今回は、AWS License Manager と AD (Active Directory) の連携のための AD ユーザーを、最小権限で作成するための手順をご紹介します。
何のために必要?
Windows Server がインストールされた EC2 インスタンスへリモートデスクトップ接続をする場合、デフォルトの同時接続数は2ユーザーが上限となっています。
現在、この上限を回避するためには、 Remote Desktop Services SAL (Subscription Access License) というライセンスをユーザーの人数分購入する必要があります。このユーザーは、規約上、Active Directory ユーザーである必要があります。
Marketplace 上の RDS SAL サブスクリプションページ
このライセンスには、上記ページで AWS 上からサブスクライブが可能ですが、Active Directory との連携のため AWS License Manager へ連携用のユーザーを登録する必要があります。
連携用 AD ユーザーに必要な権限は以下の通りです。
Active Directoryドメインの下にOUを作成できる
作成されたOU内にインスタンスを追加できる
Active Directory ドメイン内のターミナルサーバーグループにコンピューターオブジェクトを追加できる
ライセンスサーバーレポートを作成するため、Active Directoryドメイン内のユーザーオブジェクトにターミナルサーバー ライセンスサーバーの読み取りと書き込みの制御を委任されている
この連携用 AD ユーザーとして、ドメインコントローラーの管理者権限を持ったユーザーを登録することもできます。しかし、登録時に用いる AWS Secrets Manager の仕様上、AWSでの閲覧権限を持った IAM ユーザーであれば誰でもこの登録用ユーザーの認証情報を閲覧できてしまいますので、セキュリティ上推奨されません。
本記事では、上記の権限のみを持った AD ユーザーを作成する方法をご紹介しています。
動作確認環境
- マシン
- Amazon EC2 インスタンス
- インスタンスタイプ
- t3.medium
- OS
- Windows Server 2022
- AMI:
Windows_Server-2022-Japanese-Full-Base-2025.08.13
事前準備
事前に以下を用意しておきましょう。
作業対象の Active Directory の FQDN
ドメイン管理者のユーザー名とパスワード
AWS License Manager 登録用の新規ユーザー名とパスワード(ユーザー名は何でもいいですが、今回は
AWSLicenseManagerとしておきます)
ユーザー作成
①ドメインコントローラーに管理者権限でログインします。
②左下メニューから「サーバーマネージャー」を開きます。
③右上の「ツール」から「Active Dierctory ユーザーとコンピューター」を開きます。
④「Active Directory ユーザーとコンピューター」→ ドメイン名 →「Users」
を右クリックし、
「新規作成」→「ユーザー」
をクリックします。
⑤フルネーム欄およびユーザーログオン名に新規のユーザー名(今回は AWSLicenseManager )を入力します。
(「ユーザー ログオン名(Windows 2000 より前)」は自動入力されます)
⑥「次へ」をクリックします。
⑦登録するパスワードを入力します。(後ほど Licence Manager への登録に必要なので、控えておきましょう。)
「パスワードを無期限にする」のみにチェックを入れ、他はチェックを外します。
⑧「次へ」をクリックします。確認画面が出るので、「完了」をクリックします。
ユーザーに権限を付与
グループとOUの作成権限
①引き続き、「Active Directory ユーザーとコンピューター」画面から操作します。
ドメイン名を右クリックし、「制御の委任」をクリックします。
②「オブジェクト制御の委任ウィザード」が起動します。「次へ」をクリックします。
③「追加」をクリックします。
④「ユーザー、コンピューターまたはグループの選択」の画面がポップアップします。
「選択するオブジェクト名を入力してください」の欄にユーザー名 AWSLicenseManager を入力し、「名前の確認」をクリックします。
⑤ユーザー名が下線付きになったら、「OK」をクリックします。ウィザードに戻るので、「次へ」をクリックします。
⑥「委任するカスタム タスクを作成する」を選択し、「次へ」をクリックします。
⑦「このフォルダー、このフォルダー内の既存のオブジェクト、およびこのフォルダー内の新しいオブジェクトの作成」が選択されていることを確認し、「次へ」をクリックします。
⑧「全般」と「プロパティ固有」のチェックを外し、「特定の子オブジェクトの作成または削除」にチェックを入れます。
「アクセス許可」欄から次の項目を探し、2つともチェックを入れます。
コンピューター オブジェクトの作成
組織単位(OU)オブジェクトの作成
⑨確認画面が出るので、「完了」をクリックします。
グループ読み書き権限
①再びドメイン名を右クリックし、「制御の委任」をクリックします。
②先ほどと同様に、ユーザー AWSLicenseManager を追加し「次へ」をクリックします。
③次の画面でも同様に、「委任するカスタム タスクを作成する」を選択し、「次へ」をクリックします。
④今回は「フォルダー内の次のオブジェクトのみ」を選択します。
その下の欄から、「グループ オブジェクト」にチェックを入れます。
⑤「次へ」をクリックします。
⑥上3つのチェックボックスでは「プロパティ固有」のみにチェックを入れます。
「アクセス許可」欄から以下の2つを探し、2つともチェックを入れます。
メンバー の読み取り
メンバー の書き込み
⑦「次へ」をクリックします。確認画面が出るので、「完了」をクリックします。
ターミナルサーバーライセンスサーバー読み書き権限
①再度ドメイン名を右クリックし、「制御の委任」をクリックします。
②先ほどと同様に、ユーザー AWSLicenseManager を追加し「次へ」をクリックします。
③次の画面でも同様に、「委任するカスタム タスクを作成する」を選択し、「次へ」をクリックします。
④今回も「フォルダー内の次のオブジェクトのみ」を選択します。
その下の欄から、「ユーザーオブジェクト」にチェックを入れます。
⑤「次へ」をクリックします。
⑥「アクセス許可」の欄から「ターミナル サーバー ライセンス サーバー の読み取りと書き込み」を探し、チェックを入れます。
⑦「次へ」をクリックします。 確認画面が出るので、「完了」をクリックします。
以上で、License Manager 用ユーザーの設定作業は完了です。
