読者です 読者をやめる 読者になる 読者になる

treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

Windows Server EssentialsのADを考える

サーバ インフラ設計

Windows Server Essentialsを考える第二弾。
今日はWindows Server Essentialsで強制されるActive Directoryについてご報告します。
Active Directoryを使わなきゃいけないのか?という点についてです。

以前にちょっと話題にした

blog.treedown.net

と関連します。

今回はActive Directoryを本格的に使わず、簡単にNASとして利用できればそれでいい、けどNASとして利用するには認証が必要になるから認証の問題だけどうにかしたい、という時に参考になる(と思われる)内容です。

Active Directory

Windows Server EssentialsにおいてはActive Directoryは強制セットアップされます。なのでNASのような簡易な利用であってもActive Directoryに登録されるユーザアカウントを利用しなければならない、ということになります。

しかしPCでは…

Windows Server Essentialsを導入する規模の社内ネットワークであれば、Active Directoryが導入されていることは少ないように思います。なのでこの機会にActive Directoryを!といいたいところですが、Active Directoryを社内ネットワーク内にて構成するにはユーザIDとパスワードを従来使っていたものから変更する可能性が高いことやそもそもPCをドメインに参加させなければならないためWindowsのエディションがHome Editionを利用しているような環境ではドメイン参加ができない、ということになってしまいます。Professional Editionならドメイン参加は可能ですがユーザプロファイルも変わってしまいますしドメイン参加することによってログイン操作も多少変わってきてしまいます。慣れていないユーザですとここでちょっとした操作への戸惑いなども出て頭のイタイところがあります。

そこで

登録するユーザIDやパスワードはWindows Server Essentialsダッシュボードから登録してしまってよさそうです。

f:id:treedown:20170213180141p:plain

その上で差し当たっての対策として、

  1. PCで利用しているユーザ名とパスワードを全く同じようにWindows Server Essentials(Active Directory)側に登録する
  2. サーバに登録したユーザ名とパスワードをPC個別で設定し、Active Directoryのユーザ名パスワードを使ってサーバアクセスするようPCに設定する

の二種類のどちらかで対処してしまう、というのがよさそうです。

既にPCで利用しているパスワードがActive Directoryのポリシーを満たしている(大文字小文字数字記号のうち三種類を7文字以上)のであれば、そのままPCで利用しているユーザ名を収集すればActive Directory側に登録し認証をさせることができます。

f:id:treedown:20170213180214p:plain

一方で、パスワードポリシーを下げるのが憚られるにも関わらず、従来使われているパスワードが平易なパスワードだった場合、徐々に複雑なパスワードに変更するとして、徐々に複雑なパスワードを社内で使えるようになるまでの暫定措置として、PCに複雑なパスワードを設定したActive Directoryユーザを設定してしまう、というのがよさそうです。
この場合には各PCで
cmdkey /add:%Server名% /user:%ドメイン名%\%USERNAME% /pass:%PassWord%
というコマンドラインを一回実行してやると、そのサーバにアクセスする時にはWindows Server EssentialsのActive Directoryドメインユーザでアクセスすることになります。

例えば、Windows Server Essentialsの動作するサーバ名がFSNASSVRで、Active Directoryのドメイン名がDOM、ユーザ名がtree、パスワードがPassWordだとすると、
「cmdkey /add:FSNASSVR /user:DOM\tree /pass:PassWord」
このコマンドを一発打ち込んでやるだけでFSNASSVRへのアクセスはユーザ名「DOM\tree」のパスワードが「PassWord」で常にアクセスするようになります。

cmdkeyは便利ですね。