Azure Files のファイル共有を、Active Directory ドメインに参加させるために必要な権限

Avatar
Nerdio Product Support

Azure Files のファイル共有を、Active Directory ドメインに参加させるために必要な権限

この記事では、Azure Files ファイル共有を Active Directory ドメインに参加させるために使用される非管理者の委任されたドメインユーザーサービスアカウントに必要な権限について説明します。これらの権限が正しくない場合、ドメイン参加の際にエラーが発生します。エラーには、「アクセスが拒否されました」や「クライアントによって保持されていない必須の特権」といったものが含まれる場合があります。

これは Entra Domain Services 環境には適用されません。Entra Domain Services 環境では、機能を有効にするだけで、特別なサービスアカウントとしてドメインに参加する必要はありません。Nerdio Managerでは、AD に参加するドロップダウンリストでEntra Domain Servicesを選択してください。

注:展開を容易にするために、ドメイン管理者を使用するか、一時的に委任されたサービスアカウントをドメイン管理者権限に昇格させることができます。

ドメイン管理者アカウントは、Azure Files ファイル共有をドメインに参加させるのに十分です。ただし、サービスアカウントを使用し、そのアカウントに特定の権限を委任している場合、AVD セッションホストに使用される「コンピュータアカウントの追加/削除」委任権限では、Azure Files ファイル共有を追加するには不十分です

追加の注意事項:

  • Azure Files のドメイン参加プロセスは、ドメインユーザーのコンテキストで実行する必要があります。Nerdio Managerは、提供されたドメイン管理者の資格情報または以下の手順に従って十分な特権が委任されたユーザーの資格情報を使用してこのプロセスを完了します。ドメイン管理者の資格情報を使用していない場合、またはドメイン管理者ユーザーがローカル管理者権限を受け取らない場合、Nerdio Managerの自動化はドメイン参加を完了できない可能性があります。

  • Nerdio Managerが指定されたユーザーとしてこれらのコマンドを実行するためには、ユーザーコンテキストを変更するコマンドが必要です。これを成功させるためには、指定されたユーザーの資格情報に、ローカル管理者権限が付与されている必要があります。これは、Nerdio Managerによってプロビジョニングされた一時的な VM でこのプロセスを完了するためです。指定されたユーザーにローカル管理者権限がない場合、「リモートサーバー azfilestmp-* への接続に失敗しました。次のエラーメッセージ: アクセスが拒否されました。」というエラーメッセージが表示されることがあります。指定されたユーザーアカウントにローカル管理者権限が付与されていることを確認してください(azfilestmp-* VM のみ)。

  • ドメイン管理者(または委任された)権限は、Azure Files ドメイン参加モジュールの要件です。ローカル管理者権限は、Nerdio Managerがドメイン参加プロセスを自動的に実行するためにのみ必要です。

Azure Files は、委任されたサービスプリンシパルユーザーオブジェクトとしてドメインに参加します。Azure Files ストレージアカウントをドメインに参加させるためには、提供されたサービスアカウントに、新しいユーザーオブジェクトの作成および書き込みを許可するターゲット組織単位 (OU) の権限が必要です。さらに、サービスアカウントには、Azure Files のサインインアカウントを委任されたサービスとして設定するための権限も必要です。デフォルトでは、この特権はADドメイン管理者ユーザーのみに提供されます。

ユーザーオブジェクトを作成するための権限を委任する

以下の手順では、Active Directory Users & Computers(ADUCまたはdsa.msc)を使用して、ユーザーオブジェクトを作成および書き込むための権限を委任する方法を説明します。

ユーザーオブジェクトを作成するための権限を委任するには:

  1. Azure Filesを参加させるOUを見つけます。

  2. OU を右クリックし、Delegate Controlを選択します。

  3. Azure Files をドメインに参加させるために使用するサービスユーザーアカウントを追加します。

  4. ユーザーアカウントの作成、削除、および管理の権限を委任します。

  5. 変更を適用するには、完了を選択します。

委任ユーザー作成の権限を委任する

以下の手順では、Azure Filesをドメインに参加させるために使用されるサービスユーザーアカウントが、新しいオブジェクトをAzure Filesの委任されたサービスとしてマークできるようにする方法を説明します。これには、グループ ポリシー管理(gpmc.msc)で既定のドメイン コントローラー グループ ポリシー オブジェクトを変更する必要があります。

委任されたユーザー作成の権限を削除するには:

  1. 既定のドメイン コントローラーのポリシーを右クリックし、編集するを選択します。

  2. コンピュータの構成 > ポリシー > Windows設定 > セキュリティ設定 > ローカルポリシー > ユーザー権利の割り当てに移動します。

  3. コンピュータおよびユーザーアカウントを委任のために信頼できるようにするポリシーを見つけます。

  4. Azure Filesをドメインに参加させるために使用されるサービスユーザーアカウント名をポリシーに追加します。

  5. エディターを閉じます。

  6. すべてのドメインコントローラーでgpupdate /forceを実行します。

    注意: ポリシーの変更は、gpupdateが完了した後に適用されるまでに数分かかる場合があります。

Nerdio Managerサービスアカウントを追加します。

Nerdio ManagerのADプロファイルの下にサービスアカウントを提供する必要があります。詳細については、Entra ID 参加機能を参照してください。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください

関連記事

コメント (0件のコメント)

サインインしてコメントを残してください。