【Active Directory入門 Part5】ドメイン参加

この記事の内容

  • Windows 10クライアントをActive Directoryドメインに参加させる手順を解説します
  • ドメイン参加前に必要なDNSサーバーの設定について確認します
  • ドメイン参加によってActive Directory上にコンピューターオブジェクトが作成される仕組みを説明します
  • ローカルユーザーとドメインユーザーのプロファイルは完全に別物であることを解説します
  • ドメイン移行時にユーザープロファイルの扱いに注意が必要な点を紹介します

ドメイン参加前の準備:DNSサーバーの設定

ドメイン参加を行う前に、最も重要な前提条件がDNSサーバーの設定です。

クライアントPCのIPアドレス・サブネットマスク・デフォルトゲートウェイといった基本的なネットワーク設定はもちろん必要ですが、特に注意すべきはDNSサーバーの向き先です。クライアントのDNSサーバーには、Active Directoryで使用しているDNSサーバー(ドメインコントローラー)を指定しておく必要があります。

今回の例では、クライアントのDNSサーバーとして 10.1.1.1(DC01.ad.local)を設定しています。

この理由は、Active DirectoryのDNSにはSRVレコードが含まれており、クライアントはそのSRVレコードを参照してドメインコントローラーを探すからです。ドメインコントローラーのレコードが書かれていないDNSを参照している状態では、ドメインコントローラーを見つけられず、ドメイン参加が失敗してしまいます。

ドメイン参加前のローカルユーザーとプロファイルの確認

ドメイン参加後の変化を分かりやすく理解するために、参加前の状態を確認しておきましょう。

今回のクライアントPCには、ローカルの Administrator ユーザーでサインインしている状態です。このユーザーのプロファイルは以下のパスに存在します。

C:\Users\Administrator

このフォルダ配下にデスクトップやドキュメントなどのデータが格納されており、たとえばデスクトップにはスクリプトファイルが置かれています。この状態を覚えておいてください。ドメイン参加後にこのファイルがどう見えるかが重要なポイントになります。

ドメイン参加の手順

ドメイン参加はシステムのプロパティから行います。「コンピューター名」の変更画面を開き、ドメインとして ad.local を入力します。

DNSによってドメインコントローラーが検索・発見されると、認証情報の入力を求めるダイアログが表示されます。ここではドメインに参加する権限を持つユーザーの資格情報を入力します。

ユーザー名の書き方は2通りあります。

#a#Add\mAidnmiisntirsUatPtrNoart@oard.local

どちらでも動作しますが、UPN形式の方がモダンな書き方です。

認証が成功するとドメイン参加が完了し、再起動を促すメッセージが表示されます。再起動することでドメイン参加が有効になります。

ドメイン参加後にActive Directoryで起きていること

再起動後、ドメインコントローラー側でActive Directoryのコンピューターコンテナーを確認すると、Win10 というコンピューターオブジェクトが新たに作成されていることがわかります。

このオブジェクトにはDNS名やOSの情報(Windows 10 Pro、バージョン情報など)も記録されており、ドメインコントローラーとクライアントPC間でパスワードを使った信頼関係が確立された状態になっています。

これにより、このWindows 10はドメインの一リソースとして管理対象に加わりました。

ローカルユーザーとドメインユーザーの違い

ドメイン参加後のサインイン画面では、サインイン先を選択できるようになります。

#W#a\idAn\d1Am0di\mnAiidnsmitisrntairtsaottrroartor

.\コンピューター名\ を付けるとローカルアカウントを指し、ドメイン名\ を付けるとドメインアカウントを指します。同じ「Administrator」という名前でも、ローカルとドメインでは完全に別のユーザーです。

ドメインに参加しているコンピューターであれば、ドメイン内に作成されているどのユーザーでもサインインできます。逆に言えば、ドメインユーザーはドメイン内のどのコンピューターにもサインインできるようになります。

ユーザープロファイルはローカルとドメインで別々

ドメインの Administrator でサインインした後、デスクトップを確認すると、ローカルユーザーのときに置いておいたスクリプトファイルがありません。これはプロファイルが別になっているからです。

ドメインユーザーのプロファイルパスは以下のようになります。

C:\Users\Administrator.AD

一方、ローカルユーザーのプロファイルは以下のパスに残っています。

C:\Users\Administrator

ローカルユーザーのデスクトップにあったファイルにアクセスしたい場合は、上記のパスを直接開いてデータをコピーするなど、手動での移行作業が必要です。

プロファイル移行の注意点

この仕様はドメインの統廃合や移行時に特に重要です。ドメインが変わる、またはワークグループからドメインへ移行するといった場合、それまでのプロファイル内のデータには通常の方法ではアクセスできなくなります。データ自体はディスクの中に残っているため取り出すことは可能ですが、適切な移行作業をしなければなりません。ドメイン移行プロジェクトにおいて、ユーザープロファイルの取り扱いは最も重い課題の1つになりますので、十分に注意してください。

まとめ

今回はWindows 10クライアントをActive Directoryドメインに参加させる手順と、参加後の動作について解説しました。

  • ドメイン参加には、クライアントのDNSサーバーをドメインコントローラーに向けることが必須です
  • ドメイン参加によって、Active Directory上にコンピューターオブジェクトが自動作成されます
  • ドメイン参加後は、ドメイン内のどのユーザーでもそのPCにサインインできるようになります
  • ローカルユーザーとドメインユーザーはプロファイルが完全に別であり、既存のローカルデータは別途移行が必要です

Active Directoryを使うことで、ユーザー・グループ・コンピューターの管理をすべて一元化できるという大きなメリットがあります。次回はActive Directoryのデータベースと複製の仕組みについて解説予定です。