[Windows] Active Directory でドメイン参加させるための専用のアカウントを指定する

  • このエントリーをはてなブックマークに追加
  • Pocket

Active Directory でドメインにコンピュータを参加させためには、アカウントとパスワードの入力を求められます。この時に指定するアカウントはコンピュータ登録をするため「Domain Admins」ユーザー権限が必要な気がしますが、実は標準では一般ユーザー権限でドメインの参加は可能です。

つまり、ドメインへ参加する作業自体は、そのドメインに何かしらのアカウント情報を持っていれば、勝手に自宅のパソコンを会社のネットワークに接続して、ドメイン参加することができるわけです。(コンピュータをドメインへ参加させることは、逆にそのコンピュータの制御を行えることになるので危険な作業ではない)

かといって、アカウントを発行しないと、コンピュータを参加させられないのでは面倒なため、運用上でドメイン参加用のアカウントを固定してマニュアル化されているところが多いのではないでしょうか。

 
そこで特定のアカウントのみでコンピュータのドメイン参加を行えるように設定するための方法です。
wsdwreg01
※画面キャプチャの環境は「Windows Server 2008 R2」です。

[コンピューターの構成]-[Windowsの設定]-[セキュリティの設定]-[ローカルポリシー]-[ユーザー権利の割り当て]
の「ドメインにワークステーションを追加」で特定のアカウントを設定します。

 
「説明」タブに記載があるように、規定値は「Authenticated Users」で、認証済みのすべてのユーザーにこの権利があります。なお、このセキュリティ設定は、ドメイン コントローラーでのみ有効です。

ご訪問ありがとうございます。
参考になりましたら『いいね!』もお願いします。

ITの活用情報を毎週お届けする無料メルマガに是非ご登録ください。

閉じる

ご意見・ご感想をお待ちしております。

いただいた情報は一般公開されません。(入力いただいたメールアドレスにてご返信させていただきます)
また、* が付いている欄は必須項目となりますので、必ずご記入をお願いします。

内容に問題なければ、下記の「コメントを送信する」ボタンを押してください。