このページでは、Managed Service for Microsoft Active Directory ドメインの Active Directory オブジェクトを管理する方法について説明します。
始める前に
Active Directory オブジェクトを管理する前に、次の手順を行う必要があります。
- Managed Microsoft AD ドメインを作成します。
- Windows VM をドメインに参加させます。
- リモート サーバー管理ツール(RSAT)をインストールします。
RSAT をインストールする
Active Directory オブジェクトを管理するには、マネージド Microsoft AD ドメインごとに RSAT を 1 回だけインストールする必要があります。
RSAT をインストールするには、次の手順を完了させます。
Windows VM で、[Add Roles and Features Wizard] を開きます。
[Add Roles and Features Wizard] で、[Select features] ページに移動します。サイドバー メニューから [機能] を選択する、[機能を選択する] ページが表示されるまで [次へ] をクリックする、のいずれかを行います。
[機能を選択する] ページで、機能リストからリモート サーバー管理ツールを展開してから、ロール管理ツールを展開します。
[役割管理ツール] で [AD DS および AD LDS ツール] を選択します。これによって以下の機能が有効になります。
- Active Directory module for Windows PowerShell
- AD DS スナップインとコマンドライン ツール
- Active Directory Administrative Center
- AD DS スナップインとコマンドライン ツール
省略可: 必要に応じて、次の機能も有効にできます。
- グループ ポリシーの管理
- DNS サーバーツール([Role Administration Tools] の下)
[Next(次へ)] をクリックします。
[確認] ページで、[インストール] をクリックします。
[結果] ページで、[閉じる] をクリックします。
オブジェクトの管理
セキュリティ上の理由から、Remote Desktop Protocol(RDP)またはその他のツールを使用して、ドメイン コントローラに直接アクセスすることはできません。代わりに、RDP を使用してドメインに参加している VM に接続し、標準の AD ツールを使用してドメイン内の Active Directory オブジェクトをリモートで操作できます。
Active Directory オブジェクトを管理するには、次の手順を完了させます。
Managed Microsoft AD ドメインに参加した Windows VM に接続します。詳細については、RDP を使用して Windows VM に接続するをご覧ください。
[Active Directory ユーザーとコンピュータ] コンソール(
dsa.msc
)を開きます。Active Directory ドメイン名を選択してアイテムを展開します。
Active Directory オブジェクトを管理するには、マネージド Microsoft AD が提供する組織部門(OU)を使用します。
Cloud
OU 内のオブジェクトは完全に制御できますが、Cloud Service Objects
OU 内のオブジェクトの一部の属性のみ更新できます。
Active Directory オブジェクトを管理するには、必要な権限が必要です。どのユーザーにどの Active Directory オブジェクトに対する権限が付与されているかについては、デフォルトの Active Directory オブジェクトをご覧ください。
ドメインで実行できる Active Directory 管理タスクは、信頼の作成、スキーマの拡張、SID フィルタリングを無効にするなど、ごく一部に限られます。これらのタスクを実行するには、標準の AD ツールではなく、Google Cloud コンソール、gcloud CLI、または API を使用する必要があります。
組織部門
Managed Microsoft AD は、Cloud
と Cloud Service Objects
の 2 つの OU を提供します。
Managed Microsoft AD は、すべての AD オブジェクトをホストするために、Managed Microsoft AD ドメインに Cloud
を作成します。この OU への完全な管理者権限が付与されます。Cloud
OU を使用して、ユーザー、グループ、コンピュータ、その他のサブ OU を作成できます。
Cloud Service Objects
OU は、マネージド Microsoft AD が作成、管理する AD オブジェクトをホストします。この組織部門でオブジェクトを作成できるのは Google Cloud のみですが、属性の一部は更新できます。
Cloud Service Objects
OU のグループの詳細については、グループをご覧ください。
管理できる OU は、Cloud
と Cloud Service Objects
のみです。Managed Microsoft AD は、他の OU のために Active Directory オブジェクトの作成を予約しています。これにより、セキュリティが強化され、OU に適用される AD ポリシーの管理に役立ちます。