だめだめ日記

■ [Windows]Azure Active Directory Domain Servicesを触ってみた

このあたりやこのあたりをみると、Azure Active Directory Domain Services（略称AADDS）のプレビュー版が使えるようになったということなので、とりあえず触ってみました。

日本リージョンでは未サポートなので、とりあえずサポートされている東アジアで仮想ネットワークを作成の上、既存のAADの「構成」を選択すると、次の画面のように「ドメイン サービス」が表示されているので、「はい」を選択して構成してみます。

手順に従って、AAD DC Administratorsグループ（必ずこの名前である必要がある）の作成とメンバの追加、メンバのパスワードリセットを行ったうえで、Windowsクライアントを参加させ、RSATで眺めてみました。ちなみにDCのコンピュータ名は初期設定のままのランダムな名称となっています。

こんな感じで、AADで作成されたユーザがAADDC UsersというOU内に格納され、新規にドメインに参加したコンピュータはAADDC ComputersというOUに格納されます。 RSATが英語版なのはOSの日本語化が面倒だっただけで、他意はありません

このAAD DC Administratorsグループに所属するユーザは、ADの管理権があることになっていますが、ADのもつ権限の委任（Delegation）機能により、一部の機能が委任されているだけなので、実際はかなり制限がありました。

できること

• PCのドメイン参加（コンピュータアカウントの新規作成）
• 既存のGPOの編集

できないこと

• ユーザやグループの作成、削除（ユーザやグループの作成、削除はAAD側で行う必要がある）
• OUやGPOの新規作成
• 信頼関係の操作
• Active Directory サイトとサービスからの操作

たとえば、ADUCでドメインのアイコンを右クリックしても、通常なら出てくるはずの「新規作成（New）」メニューが表示されません。ちなみに機能レベルはドメイン、フォレストともにWindows Server 2012 R2でした。

グループポリシーは、以下の図のように4つが参照できるのですが、実際はDefault Domain PolicyとDefault Domain Controllers Policyは編集できないので、使えるのはAADDCからはじまる名前の2つだけです。

そんなこんなで機能制限が多いAADDSではありますが、それでもコンピュータの参加とGPOの適用という基本的な機能が実現できるのは大きいと思います。