この記事は2年以上前の投稿になります。記載された情報が古くなっている可能性がございますので十分ご注意ください。
Active Directory でドメインにコンピュータを参加させためには、アカウントとパスワードの入力を求められます。この時に指定するアカウントはコンピュータ登録をするため「Domain Admins」ユーザー権限が必要な気がしますが、実は標準では一般ユーザー権限でドメインの参加は可能です。
つまり、ドメインへ参加する作業自体は、そのドメインに何かしらのアカウント情報を持っていれば、勝手に自宅のパソコンを会社のネットワークに接続して、ドメイン参加することができるわけです。(コンピュータをドメインへ参加させることは、逆にそのコンピュータの制御を行えることになるので危険な作業ではない)
かといって、アカウントを発行しないと、コンピュータを参加させられないのでは面倒なため、運用上でドメイン参加用のアカウントを固定してマニュアル化されているところが多いのではないでしょうか。
そこで特定のアカウントのみでコンピュータのドメイン参加を行えるように設定するための方法です。
※画面キャプチャの環境は「Windows Server 2008 R2」です。
[コンピューターの構成]-[Windowsの設定]-[セキュリティの設定]-[ローカルポリシー]-[ユーザー権利の割り当て]
の「ドメインにワークステーションを追加」で特定のアカウントを設定します。
「説明」タブに記載があるように、規定値は「Authenticated Users」で、認証済みのすべてのユーザーにこの権利があります。なお、このセキュリティ設定は、ドメイン コントローラーでのみ有効です。
