AWS Microsoft AD を操作する

これの続きです。
(続きといっても、AWS Microsoft AD 単独操作にも触れていますので、Microsoft AD の操作だけでもこのページを読めば事足りると思います)

AWS Microsoft AD へのセキュリティグループやアカウント追加、AWS Microsoft AD セキュリティグループへのオンプレ AD セキュリティグループやアカウント追加をしてみましょう。

想定環境

■ オンプレ環境

ドメイン名
corp.contoso.internal

■ AWS Microsoft AD 環境

ドメイン名
adtest.contoso.internal

DNS Address
172.31.12.165
172.31.26.28

AWS Microsoft AD の正体は Windows Server 2012 R2 そのものなのですが、マネージドサービスなのでリモートデスクトップや PowerShell で直接操作することができません。

ではどうやって操作するのかというと、Windows Srver を Microsoft AD ドメインメンバーにし、RSAT(Remote Server Administration Tools)をインストールして操作します。(インストール後は PowerShell 操作も可能)

オンプレに操作用の Windows Server 作っても良いのですが、AWS なので Windows EC2 インスタンスに RSAT をインストールします。

Windows Server の GUI 操作に慣れた方であれば、日本語化しなくても操作は困らない(はずな)ので、英語版のまま使う想定にします。

まずは、IP 設定の参照 DNS を Microsoft AD の DNS Address に変更し、ドメインに参加します。

参照 DNS 変更

ドメイン参加

ドメインに参加したら、Microsoft AD の管理アカウントであるドメイン名\admins でリモートデスクトップ接続し、RSAT をインストールします。

インストールする RSAT は、ドメイン関連りだけです。(DNS はお好みで)

一番使う管理ツールは Active Directory Users and Computers でしょう。

Microsoft AD では、作成した Microsoft AD ドメインの NetBIOS 名 OU 配下しか管理権限が与えられていません。

これ以外の操作ができないようになっているので、Domain Admins の気分で操作しても何もできないようになっています。

管理 OU 配下であれば、セキュリティグループやユーザーアカウント、OU の作成が自由にできるので、必要なアカウントはここに作成します。
(通常管理と同じなので操作説明は省略)

ドメイン環境なので、Microsoft AD のセキュリティグループにオンプレ AD のセキュリティグループやユーザーを入れたくなりますが、ここに制限がかかっています。(信頼関係の仕様)

オンプレ AD DS アカウントを含めることができるセキュリティグループは、Domain Local だけに限定されます。(Default ではないので作成時に注意)

Domain Local だとオンプレ AD DS が見える

Global/Universal ではオンプレ AD DS が見えない

Microsoft AD ドメインメンバー Windows EC2 インスタンスに展開するだけなら Domain Local グループでも困る事は無いでしょう。

Domain Admins 管理権限が使えないのと、GPO も使えないようなので、オンプレ AD DS のリプレース用途には向かないですね。