AD Connectorで使用するドメインユーザーのベストプラクティス
おはようございます、加藤です。
WorkSpacesをオンプレミスのActive Directoryに参加させる場合などには、AD Connectorというディレクトリゲートウェイを使用します。
これにはドメインユーザーを登録しておく必要があり、一定以上の権限が必要です。Domain Adminの権限を与えれば、条件を満たすことができますがこれは過剰すぎます。
AWSの公式ドキュメントを参照しながらベストプラクティスなAD Connectorユーザーの作成方法をまとめてみました。
やってみた
作業はActive Directoryがインストールされたサーバ上または、リモートサーバー管理ツールがインストールされた端末で行います。
[スタートメニュー]→[Windows管理ツール]→[Active Directory ユーザーとコンピュータ]を開きます。もしくは、Win + Rで開くファイル名を指定して実行から dsa.msc と入力することで開けます。
グループの作成
AD Connector用のユーザーが所属するグループを作成します。
左側ペインで[Users]を選択状態にし、[グループの新規作成]アイコンをクリックします。
値の入力/選択を行い、[OK]をクリックします。
| フィールド | 値/選択 |
|---|---|
| グループ名 | Connectors |
| グループのスコープ | グローバル |
| グループの種類 | セキュリティ |
制御の委任
左側ペインで[ドメインルート | 画像の場合はwstf.internal]を選択状態にし、[操作]→[制御の委任]をクリックします。
画像ではドメインルートが選択されていませんが、説明どおりドメインルートを選択した状態で作業してください。
[次へ]をクリックします。
[追加]→Connectors と入力→[名前の確認]→[OK]→[次へ]をクリックします。
[委任するカスタムタスクを作成する]を選択肢、[次へ]をクリックします。
[このフォルダー内の次のオブジェクトのみ]を選択
[コンピュータオブジェクト]と[ユーザーオブジェクト]を選択 ※画像には[コンピュータオブジェクト]が映っていませんが選択しています
[選択されたオブジェクトをこのフォルダーに作成する]と[選択されたオブジェクトをこのフォルダーから削除する]を選択
[次へ]をクリック
[全般]と[プロパティ固有]を選択
[読み取り]と[書き込み]を選択
[次へ]をクリック
[完了]をクリック
ユーザーを作成
左側ペインで[Users]を選択状態にし、[ユーザーの新規作成]アイコンをクリックします。
値の入力を行い、[OK]をクリックします。
| フィールド | 値/選択 |
|---|---|
| 姓 | ad |
| 名 | connector |
| フルネーム | ad.connector |
| ユーザーログオン名 | ad.connector |
[パスワード]を入力
[ユーザーは次回ログオン時にパスワード変更が必要]を選択解除
[パスワードを無制限にする]を選択
[次へ]をクリック
[完了]をクリック
作成した[ad.connector]を右クリック→[グループに追加]をクリック
[Connectors]と入力→[名前の確認]→[OK]をクリック
あとがき
以上がAD Connector用のドメインユーザーの作成方法になります❗本当はSystems Managerからも実行できるようにPowerShellでの手順もまとめたかったのですがDACLの前に屈しました...
パスワードの有効期限は無制限と設定しましたが、ポリシーに応じて適切に設定しましょう。
