Windows で Active Directory ユーザーとコンピューター (ADUC) を起動して実行する方法
適切なツールなしでActive Directoryを管理するのは、大変な作業です。Windows 11または10をお使いの場合、特にシステムがドメインコントローラーでない場合は、ADUCスナップインがデフォルト機能ではなくなったことにお気づきかもしれません。ユーザーの作成や編集、パスワードのリセット、AD内でのデータの移行など、グラフィカルコンソールが必要な場合もあります。幸いなことに、インストールはそれほど難しくありませんが、場合によってはインストールボタンを押すほど簡単ではありません。このガイドでは、PowerShell、組み込み機能、あるいはリモートマシンからでも、ワークステーションでADUCを動作させる方法について説明します。
Windows 11 および 10 に Active Directory ユーザーとコンピューターをインストールする方法
Windows 11 および 10 では、ADUC スナップインは リモート サーバー管理ツール (RSAT) の一部として提供されます。しかし、デフォルトではインストールされません。「オプション機能」メニューから手動で追加する必要があります。これは少し面倒ですが、少なくとも無料です。ただし、環境によっては、この方法は少々不安定になる場合があります。正しくダウンロードされなかったり、「機能は利用できません」などのエラーが表示されたりする場合があります。また、ネットワークが高度にロックダウンされている場合、Windows が Microsoft サーバーからこれらの情報を取得できない可能性があります。その場合は、RSAT パッケージを手動でダウンロードするか、オフラインでインストールする必要があります。
まず、機能が利用可能かどうかを確認します。「設定」>「システム」>「オプション機能」に移動し、「機能の表示」をクリックします。 「RSAT: Active Directory Domain Services and Lightweight Directory Services Tool」を探します。これにチェックを入れ、「インストール」をクリックすると、Windows が取得してインストールします。完了したら、「ファイル名を指定してdsa.msc実行」 ( ) に入力して ADUC を起動できますWin + R。
Windows 10の古いバージョン(1809以前)をお使いの場合は、MicrosoftのサイトからRSATパッケージを入手し、MSUファイルを使ってインストールする必要があります。少し面倒ですが、必要な手順です。以前のWindowsバージョンに関する役立つリンクを以下に示します。
- Windows 10 1803/1709用 RSAT —ここからダウンロード
- Windows 8.1用 RSAT —ここからダウンロード
適切なMSUファイルをダウンロードしたら、ダブルクリックして画面の指示に従ってください。または、コマンドラインに慣れている場合は、以下を実行してください。
wusa.exe C:\Path\To\RSAT.msu /quiet /norestart
インストール後、PCを再起動し、「コントロールパネル」>「プログラム」>「Windowsの機能の有効化または無効化」に進みます。「リモートサーバー管理ツール」を展開し、「役割管理ツール」 > 「AD DSおよびAD LDSツール」を展開します。「AD DSツール」にチェックを入れ、「OK」をクリックして、Windowsがすべての設定を行うまで待ちます。
PowerShell 経由で Active Directory (ADUC) コンソールをインストールする
MS は面倒すぎると思うかもしれませんが、PowerShell を使えば実はとても簡単です。ADUC が既に準備できているか確認するには、次のコマンドを実行してください。
Get-WindowsCapability -Online -Name Rsat. ActiveDirectory*
NotPresentと表示されている場合は、次のように追加できます。
Get-WindowsCapability -Online -Name Rsat. ActiveDirectory* | Add-WindowsCapability -Online
簡単ですよね?まあ、まあ、まあ。ネットワークの制限やWindowsがMicrosoftのサーバーにアクセスできない場合、このコマンドはあまり効果がないことがあります。インターネットアクセスがブロックされている場合は、0x800f0954のようなエラーが表示されます。その場合は、Microsoftの公式ページからすべてのFeatures on Demandを含むISOイメージをダウンロードし、マウントしてPowerShellで参照する必要があります。例えば:
Add-WindowsCapability -Online -Name Rsat. ActiveDirectory. DS-LDS. Tools~~~~0.0.1.0 -Source D:\Path\To\FoD\Images\ -LimitAccess
あるいは、ISOから特定のCABファイルを抽出するか、DISMコマンドを使って機能を直接挿入することもできます。こちらは少し手間がかかりますが、マシンがインターネットから分離されている場合は問題ありません。また、社内でWSUS経由で更新を管理している場合は、GPOがローカル更新サーバーではなくMicrosoftから直接機能をダウンロードするように設定されていることを確認してください。そうしないと、インストールがハングアップしたり失敗したりします。
Windows Server への ADUC のインストール (必要な場合)
Windows Serverでは、AD DSの役割をインストールし、マシンをドメインコントローラーに昇格させると、通常ADUCがバンドルされます。メンバーサーバーに追加したい場合、または何らかの理由でADUCが見つからない場合は、サーバーマネージャーで「役割と機能の追加」 > 「機能」 > 「Active Directoryユーザーとコンピューター」を選択してください。または、次のコマンドを実行してください。
Install-WindowsFeature RSAT-AD-Tools
インストールされた機能を確認します:
Get-WindowsFeature RSAT-AD-Tools
すると、DC非対応のWindowsサーバーでもADUCコンソールが使えるようになりました。重要なのは、適切な役割がインストールされているかどうかです。少し奇妙ですが、これがWindowsの仕組みです。
セットアップ後にWindowsでADUCを使用する
インストールが完了したら、コンソールを見つけるのは簡単です。Windows 11では、「Windowsツール」(コントロールパネル > システムとセキュリティ内)に移動し、「Active Directoryユーザーとコンピューター」をクリックします。Windows 10では、 「Windows管理ツール」に移動します。または、より簡単な方法として、「ファイル名をcontrol /name Microsoft. AdministrativeTools指定して実行」ボックス( )で「」と入力しWin + R、アイコンをクリックします。
「ファイル名を指定して実行」から直接起動してdsa.mscも問題ありません。マシンがドメインに参加している場合は、自動的にDCに接続し、現在のログオンサーバーが上部に表示されます。別のドメインやDCなど、別の場所に接続するには、ルートを右クリックし、「ドメインの変更」または「ドメインコントローラーの変更」を選択してください。
ここから、使い慣れたOUツリーを使って管理作業を行うことができます。ユーザーの作成、パスワードのリセット、グループの変更、権限の委任、FSMOの役割の移動などです。ADUCを使用するのにドメイン管理者である必要はありません。通常のドメインユーザーでも、権限に応じて特定のオブジェクトを表示できます。
ドメイン外のワークステーションからリモートで ADUC を使用する
ワークグループマシンからADに接続しようとすると、これは面倒な作業になるかもしれません。しかし、これは可能です。専用のMMCセッションを実行するだけです。
- コマンド プロンプトまたは PowerShell を開き、次を実行して
runas /netonly /user:yourdomain\yourusernameMMC を起動します。 - MMC で、[ファイル] > [スナップインの追加と削除]に移動します。
- Active Directory ユーザーとコンピューターを選択し、追加をクリックします。
- ルートでドメインの変更を選択し、ドメイン名を入力します。
別の方法としては、資格情報を使用して直接実行する方法があります。
runas /user:yourdomain\yourusername "c:\windows\system32\mmc.exe %SystemRoot%\system32\dsa.msc /domain:yourdomain.com"
これにより、基本的にドメイン メンバーにならなくても AD を管理できるようになります。特に制限が厳しい場合には、これは便利なトリックです。
もちろん、Microsoft の Active Directory 管理センター (ADAC) は、AD ごみ箱の管理、きめ細かいパスワード ポリシー、一括操作の実行など、より高度な機能を提供します。これらはすべて PowerShell で構築されています。
もちろん、Windows では AD の管理が本来あるべきよりも複雑になります…
まとめ
ADUCのセットアップは、必ずしも直感的ではありません。特にWindowsが標準のスナップインをインストールできない場合はなおさらです。しかし、一度インストールしてしまえば、Active Directory環境を管理する強力な手段となります。必要な機能が正しくインストールされ、ネットワークポリシーがダウンロードをブロックしていないことを確認するだけで、初期トラブルを解決できる場合もあります。PowerShellからGUIまで、Windowsクライアント版とサーバー版の両方でADUCを動作させる方法は数多くあります。あとは、いろいろと設定したり、オブジェクトを作成したり、権限を修正したりするだけです。この方法が、誰かのストレス解消に役立つことを願っています!
まとめ
- オプション機能または PowerShell 経由で機能の可用性を確認する
- 必要に応じて、MSU ファイルまたは DISM コマンドを使用して RSAT ツールを手動でインストールします。
- Windows Serverでは、サーバーマネージャーまたはPowerShellを使用して役割を追加します。
- WindowsツールからADUCを起動するか、
dsa.msc - ワークグループマシンからリモート接続する場合は、runas を使用します。
最後に
これで1つのセットアップが簡単に動くようになれば、もう成功です。ADUCのインストールは、ネットワークの問題や機能が表示されないなど、時々面倒なこともありますが、一度インストールしてしまえば、ユーザーとグループの管理がずっと簡単になります。ただし、これらの手順の一部は環境とバージョンによって異なることを覚えておいてください。この方法が、誰かの頭を悩ませることなく必要なツールを手に入れるのに役立つことを願っています。