ラボ: ID サービスおよびグループ ポリシーの実装

シナリオ

あなたは Contoso Ltd. に管理者として勤務しています。この会社は、いくつかの新しい場所でビジネスを拡大しています。 現在、Active Directory Domain Services (AD DS) 管理チームは、非対話型のリモート ドメイン コントローラーの展開のために Windows Server で使用できる方法を評価しています。 また、チームは特定の AD DS 管理タスクを自動化する方法を探しています。 さらに、チームは、グループ ポリシー オブジェクト (GPO) に基づいて構成管理を確立したいと考えています。

メモ: このラボをご自分のペースでクリックして進めることができる、 ラボの対話型シミュレーション が用意されています。 対話型シミュレーションとホストされたラボの間に若干の違いがある場合がありますが、示されている主要な概念とアイデアは同じです。

目標

このラボを完了すると、次のことができるようになります。

  • Server Core に新しいドメイン コントローラーを展開する。
  • グループ ポリシーを構成する。

予想所要時間: 45 分

ラボのセットアップ

仮想マシン: AZ-800T00A-SEA-DC1AZ-800T00A-ADM1、および AZ-800T00A-SEA-SVR1 が実行されている必要があります。 他の VM が実行されていてもかまいませんが、このラボでは必要ありません。

: AZ-800T00A-SEA-DC1AZ-800T00A-ADM1、および AZ-800T00A-SEA-SVR1 仮想マシンによって、SEA-DC1SEA-SVR1、および SEA-ADM1 のインストールがホストされます。

  1. SEA-ADM1 を選択します。
  2. 講師から提供された資格情報を使用してサインインします。

演習 1: Server Core への新しいドメイン コントローラーの展開

シナリオ

ビジネスの再構築の一環として、Contoso では、リモートの場所での IT の関与を最小限に抑え、リモート サイトに新しいドメイン コントローラーを展開したいと考えています。 DC 展開を使用して、新しいドメイン コントローラーを展開する必要があります。

この演習の主なタスクは次のとおりです。

  1. 新しい Windows Server Core サーバーに AD DS を展開します。
  2. GUI ツールおよび Windows PowerShell を使用して、AD DS オブジェクトを管理します。

タスク 1: 新しい Windows Server Core サーバーに AD DS を展開する

  1. SEA-ADM1 に切り替え、 [サーバー マネージャー] から Windows PowerShell を開きます。
  2. Windows PowerShell で Install-WindowsFeature コマンドレットを使用して、SEA-SVR1 に AD DS 役割をインストールします。
  3. Get-WindowsFeature コマンドレットを使用してインストールを確認します。
  4. [Active Directory Domain Services][リモート サーバー管理ツール] 、および [役割管理ツール] チェックボックスをオンにしていることを確かめます。 [AD DS および AD LDS ツール] ノードの場合は、Windows PowerShell 用 Active Directory モジュールのみをインストールし、Active Directory 管理センターなどのグラフィカル ツールをインストールする必要はありません。

: サーバーを中央管理する場合、通常は各サーバーに GUI ツールは必要ありません。 それらをインストールする場合は、RSAT-ADDS コマンドを使用して Add-WindowsFeature コマンドレットを実行し、AD DS ツールを指定する必要があります。

: インストール プロセスが完了してから、AD DS 役割がインストールされていることを確認する前に待つ必要がある場合があります。 Get-WindowsFeature コマンドから予想される結果が得られない場合は、数分後に再度試すことができます。

タスク 2: AD DS インストールの準備をして、リモート サーバーを昇格させる

  1. SEA-ADM1[サーバー マネージャー][すべてのサーバー] ノードで、SEA-SVR1 をマネージド サーバーとして追加します。

  2. SEA-ADM1[サーバー マネージャー] から、次の設定を使用して AD DS ドメイン コントローラーとして SEA-SVR1 を構成します。

    • 種類: 既存のドメインの追加ドメイン コントローラー
    • ドメイン: contoso.com
    • 講師から提供された資格情報を挿入します。
    • ディレクトリ サービス復元モード (DSRM) パスワード: Pa55w.rd
    • DNS とグローバル カタログの選択を削除しない
  3. [オプションの確認] ページで、 [スクリプトの表示] を選択します。

  4. メモ帳で、次のように生成された Windows PowerShell スクリプトを編集します。

    • 番号記号 (#)で始まるコメント行を削除します。
    • Import-Module 行を削除します。
    • 各行の末尾にあるアクサン グラーブ (`) を削除します。
    • 改行を削除します。

  5. これで、Install-ADDSDomainController コマンドとすべてのパラメーターが 1 行に収まったので、コマンドをコピーします。

  6. Windows PowerShell に切り替えてから、コマンド プロンプトで次のコマンドを入力します。

    Invoke-Command –ComputerName SEA-SVR1 { }

  7. コピーしたコマンドを中かっこ ({ }) の間に貼り付け、結果のコマンドを実行してインストールを開始します。 完全なコマンドは次の形式になるはずです。

    Invoke-Command –ComputerName SEA-SVR1 {Install-ADDSDomainController -NoGlobalCatalog:$false -CreateDnsDelegation:$false -Credential (Get-Credential) -CriticalReplicationOnly:$false -DatabasePath "C:\Windows\NTDS" -DomainName "Contoso.com" -InstallDns:$true -LogPath "C:\Windows\NTDS" -NoRebootOnCompletion:$false -SiteName "Default-First-Site-Name" -SysvolPath "C:\Windows\SYSVOL" -Force:$true}

  8. 講師から提供された資格情報を挿入します。

  9. SafeModeAdministratorPasswordPa55w.rd として設定します。
  10. SEA-SVR1 が再起動した後、SEA-ADM1[サーバー マネージャー] に切り替えてから [AD DS] ノードを選択します。 SEA-SVR1 がドメイン コントローラーとして追加されたこと、および警告通知が表示されなくなったことに注意してください。 [更新] を選択する必要がある場合があります。

タスク 3: AD DS でオブジェクトを管理する

  1. SEA-ADM1 で、Windows PowerShell コンソールに切り替えます。

  2. Seattle という組織単位 (OU) を作成するには、Windows PowerShell コンソールで次のコマンドを実行します。

    New-ADOrganizationalUnit -Name "Seattle" -Path "DC=contoso,DC=com" -ProtectedFromAccidentalDeletion $true -Server SEA-DC1.contoso.com

  3. Seattle OU で Ty Carlson のユーザー アカウントを作成するには、次のコマンドを実行します。

    New-ADUser -Name Ty -DisplayName 'Ty Carlson' -GivenName Ty -Surname Carlson -Path 'OU=Seattle,DC=contoso,DC=com'

  4. ユーザーのパスワードを Pa55w.rd に設定するには、次のコマンドを実行します。

    Set-ADAccountPassword Ty

: 現在のパスワードは空白です。

  1. ユーザー アカウントを有効にするには、次のコマンドを実行します。

    Enable-ADAccount Ty

  2. SeattleBranchUsers という名前のドメイン グローバル グループを作成するには、次のコマンドを実行します。

    New-ADGroup SeattleBranchUsers -Path 'OU=Seattle,DC=contoso,DC=com' -GroupScope Global -GroupCategory Security

  3. 新しく作成されたグループに Ty ユーザー アカウントを追加するには、次のコマンドを実行します。

    Add-ADGroupMember -Identity SeattleBranchUsers -Members Ty

  4. ユーザーがグループに存在することを確認するには、次のコマンドを実行します。

    Get-ADGroupMember -Identity SeattleBranchUsers

  5. ローカルの管理者グループにユーザーを追加するには、次のコマンドを実行します。

    Add-LocalGroupMember -Group 'Administrators' -Member 'CONTOSO\Ty'

    : これは、CONTOSO\Ty ユーザー アカウントで SEA-ADM1 にサインインできるようにするために必要です。

結果

この演習が完了すると、AD DS に新しいドメイン コントローラーとマネージド オブジェクトを作成したことになります。

演習 2: グループ ポリシーの構成

シナリオ

グループ ポリシーの実装の一環として、Office アプリ用のカスタム管理テンプレートをインポートし、設定を構成したいと考えています。

この演習の主なタスクは次のとおりです。

  1. GPO 設定を作成して編集します。
  2. クライアント コンピューターで設定を適用して確認します。

タスク 1: GPO を作成および編集する

  1. SEA-ADM1 で、 [サーバー マネージャー] から [グループ ポリシーの管理] コンソールを開きます。
  2. Contoso Standards という名前の GPO を [グループ ポリシー オブジェクト] コンテナーに作成します。
  3. Contoso Standards GPO をグループ ポリシー管理エディターで開いてから、 [ユーザーの構成]、[ポリシー]、[管理用テンプレート]、[システム] の順に移動します。
  4. [レジストリ編集ツールへアクセスできないようにする] ポリシー設定を有効にします。
  5. [ユーザーの構成]、[ポリシー]、[管理用テンプレート]、[コントロール パネル]、[個人用設定] フォルダーの順に移動し、スクリーン セーバーのタイムアウト ポリシーを 600 秒になるように構成します。
  6. [パスワードでスクリーン セーバーを保護する] ポリシー設定を有効にしてから、 [グループ ポリシー管理エディター] ウィンドウを閉じます。

タスク 2: GPO をリンクする

  • Contoso Standards GPO を contoso.com ドメインにリンクします。

タスク 3: GPO の設定の効果を確認する

  1. SEA-ADM1 で、 [コントロール パネル] を開きます。
  2. Windows Defender ファイアウォール インターフェイスを使用して、 [リモート イベントのログ管理] ドメイン トラフィックを有効にします。
  3. サインアウトしてから、パスワード Pa55w.rd を使用して CONTOSO\Ty としてサインインします。
  4. スクリーン セーバーの待機時間を変更し、設定を再開してみます。 グループ ポリシーによりこれらの操作がブロックされていることを確認します。
  5. レジストリ エディターを実行してみます。 グループ ポリシーによりこの操作がブロックされていることを確認します。
  6. サインアウトしてから、講師から提供された資格情報でサインインします。

タスク 4: 必要な GPO を作成してリンクする

  1. SEA-ADM1[グループ ポリシーの管理] コンソールで、Seattle OU にリンクされている Seattle Application Override という名前の新しい GPO を作成します。
  2. [スクリーン セーバーのタイムアウト] ポリシー設定が無効になるように構成してから、 [グループ ポリシー管理エディター] ウィンドウを閉じます。

タスク 5: 優先順位を確認する

  1. SEA-ADM1 で、 [サーバー マネージャー] から [グループ ポリシーの管理] コンソールを開きます。
  2. [グループ ポリシー管理コンソール] ツリーで、Seattle OU を選択します。

  3. [グループ ポリシーの継承] タブを選択し、その内容を確認します。

    : Seattle Application Override GPO は CONTOSO Standards GPO より優先順位が高くなります。 Seattle Application Override GPO で先ほど構成したスクリーン セーバーのタイムアウト ポリシー設定は、CONTOSO Standards GPO の設定の後に適用されます。 そのため、新しい設定で CONTOSO Standards GPO 設定が上書きされます。 Seattle Application Override GPO のスコープ内のユーザーに対して、スクリーン セーバーのタイムアウトが無効になります。

タスク 6: セキュリティ フィルター処理を使用して GPO のスコープを構成する

  1. SEA-ADM1[グループ ポリシーの管理] コンソールで、Seattle Application Override GPO を選択します。 [セキュリティ フィルター処理] セクションで、認証されたすべてのユーザーに GPO が既定で適用されていることに注目してください。
  2. [セキュリティ フィルター処理] セクションで、まず認証されたユーザーを削除してから SeattleBranchUsers グループと SEA-ADM1 コンピューター アカウントを追加します。

タスク 7: 設定の適用を確認する

  1. [グループ ポリシーの管理] のナビゲーション ペインで、 [グループ ポリシーのモデル作成] を選択します。
  2. [グループ ポリシーのモデル作成ウィザード] を起動します。
  3. ターゲット ユーザーとコンピューターをそれぞれ CONTOSO\Ty ユーザー アカウントと CONTOSO\SEA-ADM1 コンピューターに設定します。
  4. ウィザードの残りのページをステップ実行し、既定の設定を変更せずに確認し、ウィザードを完了すると、その結果を含むレポートが生成されます。
  5. レポートが作成された後、詳細ペインで [詳細] タブを選択してから、 [すべて表示] を選びます。
  6. レポートで、 [ユーザーの詳細] セクションが見つかるまで下にスクロールし、 [コントロールパネル] の [個人用設定] セクションを見つけます。 [スクリーン セーバーのタイムアウト] 設定が、Seattle Application Override GPO から取得されていることがわかるはずです。
  7. [グループ ポリシーの管理] コンソールを閉じます。

結果

この演習が完了すると、GPO を正常に作成して構成したことになります。