Q

Active Directoryドメイン環境では,Domain Usersという低いドメインの権限で,コンピュータのドメインへの参加が可能です。


△ 図をクリックすると拡大されます
図1●今回出たエラー・メッセージ
クライアント側の操作だけで済むのでよく使います。しかし,この権限のユーザーでコンピュータをドメインに参加させると,10台を過ぎたところでエラーが発生してそれ以上コンピュータを追加できなくなりました(図1)。これはなぜ起きるのでしょうか? また,どうすれば回避できるでしょうか。

A

この問題は,Active Directoryドメインの仕様により発生します。また,工夫すれば回避可能です。

 Active Directoryドメイン環境で,コンピュータをドメインに参加させるには,最低でも以下の権限を持つユーザーでマシンを操作する必要があります。

・参加させるコンピュータ側
 ローカル管理者権限およびドメインのオブジェクトを読み込むための権限
・参加させたいドメイン側
 「ワークステーションをドメインに追加する」権限,またはComputersコンテナへの「コンピュータ・オブジェクトの作成」権限

 今回の問題はこのうち「ワークステーションをドメインに追加する」権限に,ドメインの一般ユーザーに対してはデフォルトで最大10台の制限があるために発生します。Active Directoryの属性にこの設定があります。コンピュータの台数は,コンピュータごとに一意に割り振るSID(セキュリティ識別子)で数えます。ディスク複製などで構築した同一SIDのコンピュータを参加させる場合,この現象は発生しません。

2つの権限設定が関係している


△ 図をクリックすると拡大されます
図2●「ワークステーションをドメインに追加する」権限
 原因をもう少し詳しく説明しましょう。まず「ワークステーションをドメインに追加する」権限は,Active Directoryドメインのグループ・ポリシー・オブジェクト(GPO)にて設定を確認・変更できます。GPOをその編集ツールであるグループ・ポリシー・オブジェクト・エディタで開いて[コンピュータの構成]−[Windowsの設定]−[セキュリティの設定]−[ローカルポリシー]−[ユーザー権利の割り当て]とたどって現れる[ドメインにワークステーションを追加]が設定場所です(図2)。

 デフォルトでは,ドメイン・コントローラが所属するDomain ControllersというOU(組織単位)に設定された「Default Domain Controllers Policy」というGPOにおいて,Authenticated Usersグループにこの権限が割り当てられています(セキュリティ・テンプレートを適用していると,設定が異なることがあります)。

 もう1つの「コンピュータ・オブジェクトの作成」権限は,Active Directoryにコンピュータ・アカウントを追加可能にする設定です。通常Account Operatorsグループに所属するユーザーだけが持ちます。

 「ワークステーションをドメインに追加する」権限と「コンピュータ・オブジェクトの作成」権限には関係があります。「ワークステーションをドメインに追加する」権限は「コンピュータ・オブジェクトの作成」権限を指定された回数まで利用可能にすることでドメインへの参加を実現しています。

コンピュータの事前登録で対応
 では,どうすれば,今回の問題に対応できるでしょうか? 上記権限をドメインの一般ユーザーに与えればよそさうですが,その場合,だれでも無制限にコンピュータをドメインに参加させられるため,セキュリティ上好ましくありません。

 結論を先に述べると,ドメインへの参加操作をドメインの一般ユーザーに安全に行ってもらうには,ドメイン管理者が事前にコンピュータ・アカウントを作成して,それをドメインの参加に際して利用してもらう方法に切り替えるのが適切でしょう。


△ 図をクリックすると拡大されます
図3●ドメインの管理者がコンピュータ・アカウントを事前に作成する方法による対策
 デフォルトではドメイン管理者のみが作成済みのコンピュータ・アカウントでドメインに参加可能ですが,設定変更で特定のユーザーに参加操作を許可できます(図3)。ドメインに参加させるコンピュータにおいてローカルの管理者権限を持つドメインの一般ユーザーを許可すれば,比較的安全です。コンピュータ・アカウントの作成には,ドメインの管理者の作業が必要ですが,やむを得ないでしょう。

 これで煩雑と感じるときは,リスクを承知して前述の設定を変更します。


△ 図をクリックすると拡大されます
図4●オブジェクト制御の委任ウィザードによる権限の割り当て

△ 図をクリックすると拡大されます
図5●adsiedit.mscで制限値を表示したところ
 最も簡単なのは参加操作を行うユーザーをAccount Operatorsグループに所属させる方法です。ただし,Account Operators権限を割り当てたユーザーは,Active Directoryドメインで自由にユーザーやグループなどのオブジェクトを作成・削除可能となり,不正アクセスを許すリスクがあります。

 次善の策は「制御の委任」機能を使用し,Computersコンテナへ「コンピュータ・オブジェクトの作成」権限を割り当てることです(図4)。この方法ではコンピュータ・オブジェクト(コンピュータ・アカウント)の作成のみを許可するような操作が設定できます。ただし,委任状況はしっかり管理してください。

 Active Directoryの設定を変えて「ワークステーションをドメインに追加する」権限における参加可能な台数を増やす方法もあります。リソースキットに含まれる「ldp.exe」や,サポート・ツールの「adsiedit.msc」などを使って,ms-DS-MachineAccountQuota属性の値を修正します(図5)。値を「0」にすると権限が無効となるので注意します。ただし,この設定は十分に検証した上で,実施してください。

NTTデータ先端技術 ソリューション部コンサルタント