今回は一般ユーザーアカウントでのドメイン参加の制限について説明します.
デフォルトで何もしていない状態の場合,一般ユーザーは10回のドメイン参加を行うことができます.
これで問題がない環境,運用であればそのままでもよいですが回数を減らしたいもしくは無効にしたいという要望があると思いますので,この手順について纏めています.
- Active Directory ドメインサービスに関するお話
- Active Directory ドメインサービス – 概要
- Active Directory ドメインサービス – Active Directory ドメインの構成 1台目
- Active Directory ドメインサービス – Active Directory ドメインの構成 2台目
- Active Directory ドメインサービス – 組織単位 (OU)
- Active Directory ドメインサービス – アカウントの管理 (ユーザーアカウントの作成)
- Active Directory ドメインサービス – アカウントの管理 (ユーザーアカウントプロパティ)
- Active Directory ドメインサービス – アカウントの管理 (グループアカウントの作成・管理)
- Active Directory ドメインサービス – グループポリシー (グループポリシー設定の前準備)
- Active Directory ドメインサービス – クライアントのドメイン参加
- Active Directory ドメインサービス – 一般ユーザーアカウントでのドメイン参加の制限
- Active Directory ドメインサービス – グループポリシーの設定,適用 (パスワードポリシー)
- Active Directory ドメインサービス – 移動ユーザープロファイルの構成と確認
- Active Directory ドメインサービス – フォルダーリダイレクトの構成と確認
- Active Directory ドメインサービス – FSLogix の構成と確認
一般ユーザーアカウントでのドメイン参加制限
先に記載のとおり,一般ユーザーは10回ドメイン参加をさせることができます.これはどれが担っているのかをまずは確認してみましょう.
ADSIエディターで制限値を確認する
「Windows」アイコンをクリックし「検索」で「ADSI」と入力します.「ADSIエディター」が候補に表示されるのでこれをクリックします.
「ADSI エディター」が起動したら,左上の「ADSI エディター」を右クリックして「接続」をクリックします.
接続の設定でラジオボタンで「既定の名前付けコンテキストを選択または入力する」が選択されていることと,「既定の名前付けコンテキスト」が選択されていることを確認して「OK」をクリックします.
元の画面に戻り「既定の名前付けコンテキスト」が表示されている状態になりますので,このツリーを一段展開して<ドメイン名>を表示させます.
表示された<ドメイン名>を右クリックし「プロパティ」をクリックします.
プロパティで「属性エディター」タブが選択されていることを確認し,属性名「ms-DS-MachineAccountQuota」の値を確認します.
この値が 10 になっているので,一般ユーザーアカウントでも10回のドメイン参加が可能ということになります.
一般ユーザーアカウントのドメイン参加を制限する
制限するには,この値を変えるだけで完了となります.変更するとそのドメインに対して一般ユーザーアカウントでのドメイン参加は設定した回数に制限されます.
今回は値を「0」にして,ドメイン参加は管理者のみとする形に変更をしてみます.
「ms-DS-MachineAccountQuota」を選択している状態で「編集」をクリックします.
「整数の属性エディター」というウィンドウが開きますので,ここに数量を入れて「OK」をクリックします.
(今回は「0」を入れます)
前の画面に戻り,値が更新されていることを確認したら「適用」をクリック,その後「OK」をクリックしてウィンドウを閉じます.
以上で設定は完了となります.実際に一般ユーザーアカウントでのドメイン参加を試してみて設定が有効になっていることを確認しましょう.
一般ユーザーでドメイン参加ができないことを確認する
では,実際にドメインに参加を行います.
一般ユーザーアカウントでのドメイン参加を試行する
タスクバーの「Windows」アイコンを右クリックし「システム」をクリックします.
詳細情報の下部の「このPCの名前を変更 (詳細設定)」をクリックします.
「コンピューター名」タブの「変更」をクリックします.
「コンピューター名/ドメイン名の変更」で「ドメイン」を選択してドメイン名を入力し「OK」をクリックします.
ドメインアカウントのユーザー名,パスワードを入力します.ユーザー名は <ドメイン名>\<ユーザー名> の形式で入力します.
「最大数を超えています。」のエラーが表示されました。ですので確かに「ms-DS-MachineAccountQuota」の値を「0」にした結果が反映されていることが確認できます.
「OK」をクリックして元の画面に戻ります.
管理者アカウントでのドメイン参加を試行する
次は管理者アカウント情報を用いてドメイン参加を行います.「OK」をクリックして次へ進みます.
管理者アカウントの情報を入力して「OK」をクリックします.
ドメインへの参加が成功し「<ドメイン名>ドメインへようこそ。」が表示されます。
従って,管理者アカウントは「ms-DS-MachineAccountQuota」の値に影響されないことも確認ができました。
その後再起動が求められますので再起動まで行います。
再起動したらドメインアカウントでログオンを行います.
ログオンが完了したことをもって,ドメインの参加,ドメインアカウントでのログオンが完了となります.
以上で一般ユーザーアカウントによるドメイン参加が行える回数制限についての説明を終わります.この設定,結構見逃されやすく,話題にも上らないことが多い印象ですのでご注意ください.
次は移動ユーザープロファイルやフォルダーリダイレクトなどのクライアントのデータをファイルサーバーに持つ仕組みへ進みたいと思います.その前準備としてファイルサーバーに触れていきます.
コメント