概要
前回 Windows Server 上に Active Directory サーバを構築してみました
今回は Active Directory と Windows の認証を連携して Active Directory 上にいるユーザでログインするところまでやってみました
環境
- Windows Server 2012 R2
ドメインに参加
まずクライアント側の Windows マシンが Active Directory のドメインに参加する必要があります
当然ですが、Active Directory サーバとクライアント側の Windows マシンはネットワーク的にリーチャビリティがある状態です
また以下の作業はドメインに参加する側のクライアント Windows マシンで行ってください
- 「コントロール パネル\ネットワークとインターネット\ネットワーク接続」で AD サーバと通信する方のネットワークアダプタのプロパティを開く
- 「インターネット プロトコル バージョン 4 (TCP/IP4)」のプロパティを開く
- 「次の DNS サーバのアドレスを使う」にチェックして IP に AD サーバのアドレスを入力する
先に DNS の向き先を AD サーバにしておかないとドメインに参加できません
次にマシンをドメインに参加させます
- 「コントロール パネル -> システムとセキュリティ -> システム -> システムの詳細設定」を選択
- 「コンピュータ名」タブ -> 「変更」を選択
- 「システムのプロパティ」を開き「コンピュータ」タブを開く
- 「ドメイン」に hawksnowlog を入力 (NetBIOS ドメインの小文字版を入れる)
- ユーザ名とパスワードに AD サーバの管理者権限を持つユーザの情報を入力
- 参加できたら再起動して AD サーバ中にいるユーザでログインできるか確認
という感じです
参加するときに以下のエラーが出る場合は設定を再度確認してください
ドメイン "hawksnowlog" に参加中に次のエラーが発生しました。指定されたドメインがないか、またはアクセスできません。
- ネットワークアダプタの DNS の向き先の設定が AD サーバになっているか
- Windows マシンから AD サーバへの疎通はできているか (ping などを打ってみましょう)
- Windows ファイアウォールの設定も確認してみましょう、オフにできるなら一度オフにして参加できるか確認してみましょう
動作確認
クライアント側の Windows マシンで Active Directory 上のユーザでログインできるか確認してみます
ログインするときに HAWKSNOWLOG\username とすることで Active Direcotory サーバ上にいるユーザでログインできます
RDP などの場合ローカルにあるユーザ名を設定しているとそのユーザで自動的にログインできてしまうので、一旦ログアウトからドメインを指定してログインしてみてください
また AD サーバ側で「Active Directory ユーザとコンピュータ」を開いて「操作」->「新規作成」->「ユーザ」で新規ユーザを作成してみましょう
そしてそのユーザでログインできるかも確認してみてください
最後に
Windows マシンと Active Directory を連携して Windows へのログインを Active Directory 上のユーザで認証できるようにしてみました
一点はまったのが Active Directory に追加したユーザでリモートデスクトップに接続するときに
リモートでサインインするには、リモートデスクトップサービス経由でサインインする権限が必要です というエラーが発生しました
どうやら追加したユーザにリモートアクセスできる権限を持つグループへの参加が必要で自分はいろいろとグループに参加させてみたのですが、うまくできませんでした
また、ポリシーの設定で参加しているグループがリモートアクセスできるように設定すればできるともあったのですが、それでもダメでした
最終的に自分が解決したのは、もともとリモートアクセスできる管理者ユーザと同じ権限を持つユーザを追加することでリモートアクセスできるようにしました
たぶん、ちゃんとグループやポリシーを設定してユーザを追加するほうが正しい方法だと思いますが、とりあえず新規ユーザでログインできることを確認したかったのでそうしました
0 件のコメント:
コメントを投稿