Q |
Active Directoryドメイン環境では,Domain Usersという低いドメインの権限で,コンピュータのドメインへの参加が可能です。
![]() △ 図をクリックすると拡大されます |
図1●今回出たエラー・メッセージ
|
A |
この問題は,Active Directoryドメインの仕様により発生します。また,工夫すれば回避可能です。
Active Directoryドメイン環境で,コンピュータをドメインに参加させるには,最低でも以下の権限を持つユーザーでマシンを操作する必要があります。
・参加させるコンピュータ側
ローカル管理者権限およびドメインのオブジェクトを読み込むための権限
・参加させたいドメイン側
「ワークステーションをドメインに追加する」権限,またはComputersコンテナへの「コンピュータ・オブジェクトの作成」権限
今回の問題はこのうち「ワークステーションをドメインに追加する」権限に,ドメインの一般ユーザーに対してはデフォルトで最大10台の制限があるために発生します。Active Directoryの属性にこの設定があります。コンピュータの台数は,コンピュータごとに一意に割り振るSID(セキュリティ識別子)で数えます。ディスク複製などで構築した同一SIDのコンピュータを参加させる場合,この現象は発生しません。
2つの権限設定が関係している
![]() △ 図をクリックすると拡大されます |
図2●「ワークステーションをドメインに追加する」権限
|
デフォルトでは,ドメイン・コントローラが所属するDomain ControllersというOU(組織単位)に設定された「Default Domain Controllers Policy」というGPOにおいて,Authenticated Usersグループにこの権限が割り当てられています(セキュリティ・テンプレートを適用していると,設定が異なることがあります)。
もう1つの「コンピュータ・オブジェクトの作成」権限は,Active Directoryにコンピュータ・アカウントを追加可能にする設定です。通常Account Operatorsグループに所属するユーザーだけが持ちます。
「ワークステーションをドメインに追加する」権限と「コンピュータ・オブジェクトの作成」権限には関係があります。「ワークステーションをドメインに追加する」権限は「コンピュータ・オブジェクトの作成」権限を指定された回数まで利用可能にすることでドメインへの参加を実現しています。
コンピュータの事前登録で対応
では,どうすれば,今回の問題に対応できるでしょうか? 上記権限をドメインの一般ユーザーに与えればよそさうですが,その場合,だれでも無制限にコンピュータをドメインに参加させられるため,セキュリティ上好ましくありません。
結論を先に述べると,ドメインへの参加操作をドメインの一般ユーザーに安全に行ってもらうには,ドメイン管理者が事前にコンピュータ・アカウントを作成して,それをドメインの参加に際して利用してもらう方法に切り替えるのが適切でしょう。
![]() △ 図をクリックすると拡大されます |
図3●ドメインの管理者がコンピュータ・アカウントを事前に作成する方法による対策
|
これで煩雑と感じるときは,リスクを承知して前述の設定を変更します。
![]() △ 図をクリックすると拡大されます |
図4●オブジェクト制御の委任ウィザードによる権限の割り当て
|
![]() △ 図をクリックすると拡大されます |
図5●adsiedit.mscで制限値を表示したところ
|
次善の策は「制御の委任」機能を使用し,Computersコンテナへ「コンピュータ・オブジェクトの作成」権限を割り当てることです(図4)。この方法ではコンピュータ・オブジェクト(コンピュータ・アカウント)の作成のみを許可するような操作が設定できます。ただし,委任状況はしっかり管理してください。
Active Directoryの設定を変えて「ワークステーションをドメインに追加する」権限における参加可能な台数を増やす方法もあります。リソースキットに含まれる「ldp.exe」や,サポート・ツールの「adsiedit.msc」などを使って,ms-DS-MachineAccountQuota属性の値を修正します(図5)。値を「0」にすると権限が無効となるので注意します。ただし,この設定は十分に検証した上で,実施してください。