developersIO
AWS Directory Service SimpleADのユーザを管理したい

AWS Directory Service SimpleADのユーザを管理したい

AWSAWS Directory Service
FacebookHatena blogX
2026.03.11

こんにちは、まるとです。
Amazon WorkSpaces向けにSimple ADやAWS Managed Microsoft ADを構築されている方も多いのではないでしょうか。

AWS Managed Microsoft ADであれば、2024//9のアップデートで一般的なCRUD操作が可能です。

https://dev.classmethod.jp/articles/aws-directory-service-for-managed-microsoft-ad-direct-crud/

SimpleADはAmazon WorkSpaces コンソールからユーザを追加することはできますが、その他の操作を行う場合は
Windows Server等のEC2インスタンスを起動した上で、Active Directory 管理ツールから操作を行う必要があります。

本記事では実際に、SimpleADを管理するまでの操作を試してみたいと思います。

主な手順

  1. IAMロールの作成
  2. ドメイン結合ディレクトリ、IAMロールを設定したWindows EC2インスタンスを起動する
  3. Active Directory ドメインサービスのインストール

この3ステップとなります。

やってみる

1. IAMロールの作成

はじめに、EC2がSimple ADにアクセスできるよう、IAMロールを作成します。
EC2のため、インスタンスプロファイルを作れるよう、信頼されたエンティティタイプは「AWSのサービス」、サービスとユースケースは「EC2」を選択します。

1

後述する、EC2インスタンス起動時に設定する「ドメイン結合ディレクトリ」では、EC2インスタンス起動時にSystems Manager ドキュメントを実行することで、Windowsをドメインに登録することができます。
そのため、AWS Directory ServiceとSystems Managerへのアクセス権が必要となるため、AWSマネージドポリシーAmazonSSMDirectoryServiceAccessAmazonSSMManagedInstanceCoreをIAMロールにアタッチします。

2

これでIAMロールの準備は完了です。

2. ドメイン結合ディレクトリ、IAMロールを設定したWindows EC2インスタンスを起動する

続いて、管理用EC2インスタンスを起動します。AMIはWindowsを指定します。(画像ではMicrosoft Windows Server 2025 Base)

3

ここからがポイントとなる設定です。EC2の細かな動作を設定できる「高度な詳細」の中にドメイン結合ディレクトリとIAMインスタンスプロフィールがあります。
ドメイン結合ディレクトリには作成したSimpleAD、IAMインスタンスプロフィールには手順1で作成したIAMロールを指定します。

4

また、今回特別記載はしていませんが、プライベートサブネットにリソースを配置する場合は、Systems ManagerにアクセスできるようにVPCエンドポイント等を作成しておいてください。
※ドメイン結合ディレクトリの設定はSystems Managerのドキュメントを実行することで適用されるため

設定が完了したら、EC2インスタンスを起動します。

3. Active Directory ドメインサービスのインストール

次に、起動したEC2インスタンスにログインします。ログインする際は、ディレクトリの管理者ユーザでログインをしていきます。
今回はSystems Manager Fleet Managaer Remote Desktopを利用します。

ユーザ名には<ディレクトリのDNS名>\Administratorを入力します。

5

ログイン後はWindowsの作業となります。
Server Managerの右上にある「Manage」から「Add Roles and Features」を選択します。

6

途中のInsallation Typeでは「Role-based or feature-based installation」を選択します。

7

機能の選択(Features)まで移動したら、「Remote Server Administration Tools」内の「Role Administration Tools」>「AD DS and AD LDS Tools」にチェックを入れた上で、次に進みます。

8

内容を確認した上で、「Install」を選択します。これで必要な管理ツールがインストールされます。

9

ユーザの操作を行う

必要なツールは揃ったため、実際にユーザの操作を行います。
Active Directory Users and Computersを起動します。スタートメニューで検索するか、全てのアプリの「Windows Tools」を選択し、表示されたアプリの一覧にあります。

10

あとはディレクトリを選択し、ユーザやグループの操作を行うのみです。

11

marutoユーザを追加してみます。

12

13

Amazon WorkSpacesでも追加したユーザの選択ができるようになりました。

14

終わりに

Systems Managerとの連携により、ドメインへの参加をした状態でEC2を起動できるため、比較的簡単にユーザの管理が行えることがわかりました。
AWS Managed Microsoft Active Directoryまでは使わなくても、SimpleADの場合の管理方法がわからない...という方に少しでもイメージがつけば幸いです。

この記事をシェアする

FacebookHatena blogX

関連記事

SSM ドキュメントを利用して、起動中の Windows EC2 インスタンスをドメイン参加させてみた
片方 裕人
2024.12.09
AWS Managed Microsoft ADでユーザとグループがAWSマネジメントコンソールなどから直接CRUD操作できるようになったので見てみた
tmorio (まると)
2024.09.19
【小ネタ】EC2 インスタンスが所属しているドメインを SSM FleetManager から確認してみた
このみ
2025.04.23
Amazon EC2 WindowsインスタンスをSimple ADのドメインに参加させ、ドメインユーザーでログインしてみた
こーへい
2025.03.02