AD Connectorで使用するドメインユーザーのベストプラクティス

AD Connectorで使用するドメインユーザーの作成のベストプラクティスなやり方を紹介します。
2018.06.06

おはようございます、加藤です。

WorkSpacesをオンプレミスのActive Directoryに参加させる場合などには、AD Connectorというディレクトリゲートウェイを使用します。

これにはドメインユーザーを登録しておく必要があり、一定以上の権限が必要です。Domain Adminの権限を与えれば、条件を満たすことができますがこれは過剰すぎます。

AWSの公式ドキュメントを参照しながらベストプラクティスなAD Connectorユーザーの作成方法をまとめてみました。

 やってみた

作業はActive Directoryがインストールされたサーバ上または、リモートサーバー管理ツールがインストールされた端末で行います。

[スタートメニュー]→[Windows管理ツール]→[Active Directory ユーザーとコンピュータ]を開きます。もしくは、Win + Rで開くファイル名を指定して実行から dsa.msc と入力することで開けます。

グループの作成

AD Connector用のユーザーが所属するグループを作成します。

左側ペインで[Users]を選択状態にし、[グループの新規作成]アイコンをクリックします。

値の入力/選択を行い、[OK]をクリックします。

フィールド 値/選択
グループ名 Connectors
グループのスコープ グローバル
グループの種類 セキュリティ

制御の委任

左側ペインで[ドメインルート | 画像の場合はwstf.internal]を選択状態にし、[操作]→[制御の委任]をクリックします。

画像ではドメインルートが選択されていませんが、説明どおりドメインルートを選択した状態で作業してください。

[次へ]をクリックします。

[追加]→Connectors と入力→[名前の確認]→[OK]→[次へ]をクリックします。

[委任するカスタムタスクを作成する]を選択肢、[次へ]をクリックします。

[このフォルダー内の次のオブジェクトのみ]を選択

[コンピュータオブジェクト]と[ユーザーオブジェクト]を選択 ※画像には[コンピュータオブジェクト]が映っていませんが選択しています

[選択されたオブジェクトをこのフォルダーに作成する]と[選択されたオブジェクトをこのフォルダーから削除する]を選択

[次へ]をクリック

[全般]と[プロパティ固有]を選択

[読み取り]と[書き込み]を選択

[次へ]をクリック

[完了]をクリック

ユーザーを作成

左側ペインで[Users]を選択状態にし、[ユーザーの新規作成]アイコンをクリックします。

値の入力を行い、[OK]をクリックします。

フィールド 値/選択
ad
connector
フルネーム ad.connector
ユーザーログオン名 ad.connector

[パスワード]を入力

[ユーザーは次回ログオン時にパスワード変更が必要]を選択解除

[パスワードを無制限にする]を選択

[次へ]をクリック

[完了]をクリック

作成した[ad.connector]を右クリック→[グループに追加]をクリック

[Connectors]と入力→[名前の確認]→[OK]をクリック

あとがき

以上がAD Connector用のドメインユーザーの作成方法になります❗本当はSystems Managerからも実行できるようにPowerShellでの手順もまとめたかったのですがDACLの前に屈しました...

パスワードの有効期限は無制限と設定しましたが、ポリシーに応じて適切に設定しましょう。

引用

AD Connector の前提条件 - AWS Directory Service