概要

Directory Service によって、AWS において Active Directory (AD) を利用できます。例えば Windows Server 2019 EC2 インスタンスへの User CAL インストールの際に AD が必要となります。Windows Server を設定して自前で AD 構築することもできますが、ここでは Directory Service を利用するための基本設定を記載します。

AWS Directory Service 初期設定の例

AWS Directory Service を用いると AWS マネージドな Active Directory (AD) を利用できます。

Standard Edition を利用してみます。

AD の Domain Controller (DC) および DNS が所属することになる VPC と AZ を指定します。

AD の DC および DNS は各 AZ にそれぞれ存在しており、Domain に Join する EC2 では DNS サーバの IP を指定します。

補足

• Active Directory (AD) における Domain を管理するサーバは Domain Controller (DC) です。
• Domain corp.example.com を DC の IP に名前解決する DNS サーバも AD の構成要素の一つです。
• Domain に参加するサーバは AD の DNS サーバを利用する必要があります。

Active DirectoryにおけるDNSの役割【連載：ADについて学ぼう~基礎編(5)~】

EC2 Windows Server を Domain に参加させるための設定

EC2 Windows Server は既定では Domain に所属しておらず Workgroup 設定となっています。参考: Manually join a Windows instance

Domain に参加させるために、まずは DNS 設定を変更します。コントロールパネルから Ethernet 設定を開きます。

Properties をクリックします。

IPv4 の Properties をクリックします。

Directory Service で構築された DNS の IP を指定します。

正しく設定されたことを確認します。

確かに corp.example.com を DC の IP に解決できることを確認します。今回の例では DC と DNS は同一サーバということになります。

先程の画面で Change Settings をクリックします。

Change をクリックします。

Domain を指定します。

Domain の admin アカウントの認証情報を指定します。

正常に設定されると以下のようなウィンドウが表示されます。

設定を反映させるためには再起動が必要です。

引き続きローカルアカウントでもログオンできますが、Domain に参加した後は AD 内のユーザでログオンできます。

正しく Domain に参加できたことも確認します。

補足

上記設定によって手動で Domain に参加させることもできますが、EC2 を新規に起動する際に Domain を指定することもできます。

AD 管理用のツールのインストール

Directory Service は AD 管理用の Web UI を持たないため、Domain 参加した Windows Server にツールをインストールする必要があります。

Server Manager の Add Roles and Features をクリックします。

Next をクリックします。

Role-based or feature-based installation を選択します。

Next をクリックします。

Next をクリックします。本ページの例では Role ではなく feature 指定でインストールします。

Group Policy Management をチェックします。

以下の feature をチェックします。

• AD DS and AD LDS Tools
• DNS Server Tools

再起動することを許可したうえで Install します。

以下のようなツールがインストールされたことが確認できます。

参考資料

• AWS Directory Service: Configure and Administer Your AWS Managed Microsoft AD
• Installing the Active Directory administration tools

新規 AD ユーザの追加および RDP 許可設定

新規 AD ユーザの追加

「Active Directory Users and Computers」を起動します。

New → User をクリックします。

新規アカウントの情報を入力します。

パスワードを設定します。

RDP 許可設定

同じ OU に Group を追加します。

グループ名を入力します。

グループのプロパティを編集します。

RDP を許可したいユーザを追加します。

Group Policy Management を起動します。

Group Policy Object (GPO) を新規作成します。

GPO 名を入力します。

GPO を編集します。

新規ウィンドウとして開かれた Group Policy Management Editor を以下のように操作します。

GPO に Group を追加します。

作成済みの Group を選択します。

OK をクリックします。

定期処理を待たずに Policy を反映させるためには、以下のコマンドを実行します。

確かに corp.example.com\rdp-user02 で RDP できることを確認します。

参考資料

• Create a user
• How do I allow domain users to RDP into Windows Instances using Group policy in AWS Microsoft AD?

Windows Server EC2 インスタンスによって Active Directory を構築する設定例

概要 こちらのページでは AWS の Directory Service を利用して Active Directory (AD) を構築しました。 本ページでは Windows Server 自体の設定で AD を構築する例を記載します。 AD の Domain Service (DS) および DNS 役割のインストール
Windows Server EC2 インスタンスへの CAL インストール

概要 Windows サーバを AWS EC2 インスタンスとして起動した後は、RDP 接続が必要となります。RDP 接続を行なうためには Remote Desktop Services (RDS) ライセンスが必要となります。 Windows Server のライセンスは、管理用途の RDS 接続を許可しています。その際に RDS ライセンスは不要です。ただし、
AWS 落穂拾い (Identity & Federation)

Access Advisor と Access Analyzer 最小権限の原則に関連する、名称が似た機能です。 Access Advisor IAM 権限について、使用状況を確認できます。 Viewing last accessed information for IAM Access Analyzer