この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
セルフマネージド型の AD で管理する FSx for Windows File Server のベストプラクティスとされている 「サービスアカウント」と、「FSx for Windows File Serverにリモート接続する管理ユーザー」が何者なのかを整理しました。ベストプラクティスに沿って必要になったドメインユーザー、権限、ドメイングループをまとめました。
整理結果
セルフマネージド型の AD を利用するには前提事項があります。まずは条件を満たしているか確認が必要です。
セルフマネージド Microsoft AD を使用するための前提条件 - Amazon FSx for Windows File Server
FSx for Windows File Server 構築時に必要なパラメーターと、AD に必要なリソースをマッピングしました。
- OU を1つ新規作成
- ドメインユーザーを2つ新規作成
- うち1ユーザーは作成したグループのメンバーにする
- グループを1つ新規作成
AD で作成するリソース
- FSx for Windows File Server への権限を与えるための OU を1つ
- FSx for Windows File Server へリモート接続を許可するためのグループを1つ
- ドメインユーザーを2つ
- サービスアカウントと呼ばれるドメインユーザーが1つ
- リモート接続するときに利用するドメインユーザーが1つ
実際の画面だとこんな感じです。FSxForWinという OU の配下にドメインユーザー2個と、グループを1個作成しています。
専用 OU
専用 OU の作成目的は制御の委任の設定でサービスアカウント(ドメインユーザー)に必要最低限の権限を与えるためです。
その他には FSx for Windows File Server 作成後、指定した OU 内にコンピュータオブジェクトが自動生成されます。そのコンピュータオブジェクトを移動しないでくださいとドキュメントに書かれているため、事故防止のためにも専用の OU を設けるのがよいでしょう。
Do not move computer objects that Amazon FSx creates in the OU after your file system is created. Doing so will cause your file system to become misconfigured.
実際の画面だとこんな感じです。コンピュータオブジェクトが追加されています。検証のため FSx for Windows File Server を複数構築していたのでコンピュータオブジェクトが複数登録されています。
FSx for Windows File Server 構築時にはここのパラメーターで指定することになります。
制御の委任
サービスアカウント(ドメインユーザー)に必要な権限を与える設定が必要です。対象の OU を右クリックしてメニューから選択します。
設定内容は以下の権限を与えます。設定するときは必ず最新のドキュメントを確認してください。
サービスアカウント(ドメインユーザー)に対して権限を与えます。
合計4個チェックを入れます。
間違いないか確認してください。
ドメインユーザー
どちらもただのドメインユーザーです。ドキュメント内の表記に合わせてサービスアカウント(ドメインユーザー)と、リモート接続するドメインユーザーは説明の都合上、本記事内では FSx 管理ユーザー(ドメインユーザー)と表記します。
世間一般にはなんと呼ばれているのかわかりませんが、サービスアカウントは FSx for Windows File Server 用語だと思われます。
サービスアカウント
FSx for Windows File Server 構築時にドメインユーザー名と、パスワードが要求されます。 OU から制御の委任時に指定されるユーザーです。それ以外にはドメインユーザーに特別な設定することはなく、専用の OU 内にドメインユーザーとして存在しているだけです。
Domain Usersのメンバーです。
FSx for Windows File Server 構築時にはここのパラメーターで指定することになります。
サービスアカウント(ドメインユーザー)のパスワードを変更したり、グループポリシーオブジェクトでパスワード更新が必須要件となっている環境では、パスワード更新後、FSx for Windows File Server に登録しているサービスアカウント情報も更新してください。
Amazon FSx requires a valid service account throughout the lifetime of your Amazon FSx file system. Amazon FSx must be able to fully manage the file system and perform tasks that require unjoining and rejoining your AD domain using, such as replacing a failed file server or patching Windows Server software. Please keep your Active Directory configuration, including the service account credentials, updated with Amazon FSx
引用: Prerequisites for using a self-managed Microsoft AD - Amazon FSx for Windows File Server
FSx 管理ユーザー
こちらもただのドメインユーザーです。FSx 管理用のグループのメンバーとして設定して、FSx for Windows File Server にリモート接続できるドメインユーザーとします。正確には特定のグループに所属しているメンバーであればリモート接続ができます。
Q. なぜマネジメントコンソールで FSx for Windows File Server の設定する以外に、PowerShell からリモート接続して設定するのですか?
A. 以下の設定はすべて PowerShell からリモート接続して設定します。リモート接続するときのユーザーがここで説明したいドメインユーザーになります。しぶしぶリモート接続することになるのではないかと思います。
- [アップデート]Amazon FSx for Windows File ServerがDNSエイリアスを使用したファイルシステムへのアクセスをサポートするようになりました | DevelopersIO
- Amazon FSx for Windows File Server の Volume Shadow Copy 管理機能を試してみた | DevelopersIO
- Amazon FSx for Windows File Server のデータ重複排除を試してみた | DevelopersIO
- FSx for Windows File Serverで「アクセスベースの列挙」(Access-based Enumeration: ABE) を利用する | DevelopersIO
グループ
FSx for Windows File Server 構築後に PowerShell でリモート接続してオプション機能を追加・変更する権限を与えるドメイングループを設定します。デフォルトは Domain Admins のメンバーに権限が付与されるのですが、ベストプラクティス的には権限を与える範囲を狭めるために FSx 管理用のグループとユーザーを作成しましょうという意図です。
さきほどのFSx Adminドメインユーザーをメンバーとして登録しています。
ネストして参加しているグループはありません。
リモート接続に関する権限は FSx for Windows File Server 構築時にグループ名を指定するだけです。権限を明示的に設定することないのですが、逆に言うと何が設定されているのかわかりません。
FSx for Windows File Server 構築時にはここのパラメーターで指定することになります。
おわりに
FSx for Windows File Serverで利用されるサービスアカウント(ドメインユーザー)と、リモート接続すためのユーザーは別ということがわからず にFSx for Windows File Server 用語の理解に苦しみました。 それでベストプラクティスで必要とされるドメインユーザー、権限を整理しました。必要なものがわかってしまえば AD 上のリソース作成は簡単でした。
だけど、次に問題となったのは AD で FSx for Windows File Server が認証できるのかでした。以下で紹介されている検証ツールを使う場面もあると思いますので事前に一読しておくとよいでしょう。
3
