Active Directoryへのアクセス方法

チュートリアル

IT業界で働いている場合、おそらくMicrosoft Active Directoryをよくチェックしているでしょう。しかし、Active Directory(AD)を設定および管理するには、AD管理ツールへのアクセスが必要です。

このガイドでは、3つの最も重要なAD管理ツールであるActive Directoryユーザーとコンピューター(ADUC)、Active Directory管理センター(ADAC)、さらに複雑な構成オプションのためのActive Directoryサイトとサービスを開く方法を学びます。

Active Directoryユーザーとコンピューターを開く方法

まず始めに、ドメインコントローラー(DC)で最も人気のあるツール、Active Directoryユーザーとコンピューターを開きます。 Active Directoryユーザーとコンピューターを開くには、ドメインコントローラーにログインして、スタートメニューからServer Managerを開きます。 そして、Server ManagerのツールメニューでActive Directoryユーザーとコンピューターをクリックします。

Active Directoryへのアクセスや管理ツールへアクセスする他の方法の詳細については、引き続きお読みください!

脅威検出

Log360 は、統合された DLP および CASB 機能を備えた ManageEngine の SIEM ソリューションで、エンタープライズネットワーク全体での脅威を検出し、エンドポイント、ファイアウォール、Web サーバー、データベース、スイッチ、ルーター、さらにはクラウドソースまでをカバーしています。

Learn More

Active Directory を構成および管理するために使用できるツールは何ですか?

どこでそれらのツールを開くことができるかを見る前に、AD の管理に使用される3つの主要なグラフィカルユーザーインターフェースツールとそれらを使用して何ができるかについて説明します。

Active Directory 管理センター

比較的新しいツールである Active Directory 管理センター は、最初に Windows Server 2012 とともにリリースされました。IT プロや管理者が AD のルーチンタスクを簡単に処理するための特殊な機能のためのグラフィカルユーザーインターフェース(GUI)を提供するために導入されました。

The Active Directory Administrative Center

アクティブディレクトリ管理センターは、アクティブディレクトリのゴミ箱 のGUI を提供します。また、細かいパスワードポリシーを管理する のためのグラフィカルで効率的なインタフェースも提供しています。

Creating a new ‘fine-grained password policy’ in the ADAC

また、「Windows PowerShell 履歴ビューアー」というツールもあります。これは、ADAC でアクションを実行する際に裏で実行される PowerShell コマンドを表示します。すごいですね!

Browsing the Windows PowerShell History pane

アクティブディレクトリユーザーとコンピューター

Active Directory Users and Computers、明確に最も人気のあるツールでADにアクセスするためにインストールされており、適切なツールをWindows 10、Windows 11、または他のメンバーWindowsサーバーにインストールすると、リモートアクセスツールとして追加されます。

The Active Directory Users and Computers app

このツールを使用して、さまざまなオプションと方法でAD環境を操作し、日常の「ITプロ」のタスクを達成できます。ADUCを始める方法について詳しく学ぶために、Petriの「Active Directory Users and Computersのインストール方法」ガイドをチェックしてください。

Active Directory Sites and Services

Active Directory Sites and Services(ADSS)は、ADドメインの論理ネットワークレイアウトを管理するために使用されます。ここで、サイト(ネットワークIPサブネットで指定された論理的でしばしば地理的な境界)を作成および管理します。

Active Directory Sites and Services

ADSSが提供するサービスには、DC間のレプリケーションの管理インタフェースが含まれています。

Managing multiple Sites in your Active Directory domain

DC間のレプリケーションのトラブルシューティングに取り組んでいる場合は、最初に見るべき場所です!

脅威検知

Log360、ManageEngineのSIEMソリューションには統合されたDLPおよびCASB機能が備わっており、エンタープライズネットワーク全体にわたって脅威を検出し、エンドポイント、ファイアウォール、Webサーバー、データベース、スイッチ、ルーター、さらにはクラウドソースまでカバーしています。

Learn More

Active Directoryにアクセスするために必要な権限は何ですか?

標準の非管理者ユーザーの場合、Active Directoryユーザーとコンピューターでディレクトリの内容(ユーザー、コンピューターなど)を「読む」ことができる程度で進展しません。変更を行ったり、ユーザーを追加したり、パスワードをリセットするためには、より多くの権限が必要です。

ADUCにアクセスするためには、「認証ユーザー」グループへの少なくとも「読み取り」アクセスが必要です。その後、ユーザーアカウントをドメイン管理者グループに追加するか、ADUCのコントロール委任ウィザードを使用してユーザーアカウントに必要な権限のみを付与できます。

Granting admins access to Active Directory via the Delegation of Control Wizard

Active Directoryの管理ツールはどこにありますか?

Active Directoryの管理ツールは異なる場所で開くことができます。ツールを見つけることができる3つの主要な場所は以下の通りです:

  1. ドメインコントローラー上で。
  2. Windowsのリモートサーバー管理ツール(RSAT)を使用。
  3. PowerShellのADモジュールを使用します。

ドメインコントローラーでActive Directory管理ツールを開きます

DC上の管理ツールを使用してADを管理することは、Microsoftによって推奨されていません。しかし、何かを素早く行いたい場合には伝統的に使われる効率的な方法です。

ADUCは、Windows Serverのドメインコントローラーにデフォルトでインストールされる管理ツールの1つです(スタートメニューからアクセス可能)。つまり、Windows ServerにActive Directoryドメインサービスの役割がインストールされている場合です。

ドメインコントローラーにログインするために必要な権限は何ですか?

ログインするには、「ローカルでログオン」の最小ユーザー権限が必要であり、それはさまざまな方法で付与されます:ローカル管理者グループのメンバーであることやドメイン管理者グループのメンバーであることなどが可能なオプションです。また、DCにログインするためにリモート デスクトップ ユーザーグループのメンバーシップが与えられることもあります。

メンバーサーバーまたはドメインに参加しているワークステーションからADを開くために必要な権限に加えて、DCへのアクセス権も必要です。

ドメインコントローラーでAD管理ツールを見つける方法

少し前に述べたように、すべてのAD管理ツールは、スタートメニューの管理ツールフォルダー内に見つけることができます。

ADUC in the Administrative Tools folder

さらに、スタートメニューの右側にタイルとして、および完全なアプリケーションリスト内の「Windows管理ツール」の下にも見つけることができます。

脅威検出

Log360、ManageEngineのDLPおよびCASB機能を統合したSIEMソリューションは、エンタープライズネットワーク全体で脅威を検出し、エンドポイント、ファイアウォール、Webサーバー、データベース、スイッチ、ルーター、さらにはクラウドソースまでカバーします。

Learn More

Accessing Windows Administrative Tools in the Start Menu

Active DirectoryにアクセスするためにWindowsにAD管理ツールをインストールする

DC上の管理ツールを使用してActive Directoryを管理することは推奨されません。なぜなら、これによりADドメインが危険にさらされる可能性が高まるからです。常に、ADに参加しているサーバーまたはワークステーションにツールをインストールするようにしてください。

ただし、AD管理ツールはWindowsにデフォルトでインストールされていません。したがって、Windowsにこれらのツールをインストールする方法は次のとおりです:

Windows 10のバージョン1803またはそれ以前を実行している場合(してはいけませんが、サポートが終了しています!)、次の手順に従うことができます:

  1. お使いのプラットフォーム用のRSATツールをダウンロード
  2. ダウンロードしたインストーラーパッケージを実行します。
  3. スタートメニューをクリックし、すべてのツールは「管理ツール」の下にリストされるはずです。

「Windows 10 バージョン 1809」以降または「Windows 11」を実行している場合は、次の手順に従ってください:

  1. 開始→アプリ→オプション機能→「オプションの機能を追加」をクリックします。
  2. リスト内をスクロールして、’RSAT’ という名前で先頭に記載されたアイテムを見つけます。’RSAT: Active Directory Domain Services and Lightweight Directory Services Tools’ を見つけます。
  3. インストールするためにチェックボックスを選択して、「インストール」または「次へ」をクリックします。

以上で完了です!インストールが完了すると、ツールは「管理ツール」の下にスタートメニューに配置されます。Windows で「リモートサーバー管理ツールのインストール方法」について詳細な手順を Petri で見つけることができます。

Active Directory の PowerShell モジュールをインストールします。

最後に含めるツールは、Windows PowerShell用Active Directoryモジュール です。これはすべてのDCに含まれており、RSATツールとして「RSAT: Active DirectoryドメインサービスおよびLightweight Directoryサービスツール」として指定されています。

Using the PowerShell module for Active Directory

このモジュールをワークステーションやDCにインストールする方法については、「Get-ADUser」PowerShellコマンドレットの私の記事を参照してください。

結論

Active DirectoryはWindows 2000から約23年前から存在しています。現在は、Active Directory情報にアクセスするためのさまざまなツールが利用可能です。

Active Directory Users and Computers、Active Directory Administrative Center、Active Directory Sites and Services、そしてWindows Admin Centerもそれぞれのタスクに対応しています。後者は長年にわたり大きく進化しており、今ではそれを使って達成できるAD内のタスクが驚くほど多くなっています。

脅威検出

Log360、ManageEngineのSIEMソリューションで統合されたDLPおよびCASB機能を備え、エンタープライズネットワーク全体をカバーしてエンドポイント、ファイアウォール、Webサーバー、データベース、スイッチ、ルーター、さらにはクラウドソースで脅威を検出します。

Learn More

関連記事:

Source:
https://petri.com/how-to-access-active-directory/