- PR -

DSADDでcomputerを登録する目的はなんですか?

1
投稿者投稿内容
ま〜さ
会議室デビュー日: 2005/10/27
投稿数: 2
投稿日時: 2005-10-27 17:13
WindowsServer2003のActiveDirectory(以下A/Dと略)を使用した社内LANに変更しようとしてます。A/DにUser/Computerの登録はDSADDでまとめて登録できることはこのサイト等を調べさせていただいてだいたい分かったつもりです。
UserをDSADDを使用して登録するのは1人ずつGUI画面から登録するより短時間でできること理解できました。しかし、Computerをまとめて登録するメリットなり目的がわかりません。
Clientパソコンのコントロールパネル→ネットワークでIP/DGW/DNSなどの設定を行い、コントロールパネル→システム→ネットワークIDの設定でDOMAINに参加の設定でこのとき、ネットのAdministrator+passwordで確認という操作が必要となると思います。確認時点でA/DにComputerとして登録されるのではないでしょうか? DSADDで登録するとCOMPUTERの説明が登録できるとかなんでもけっこうです。メリットとかこういう目的で使ってるという方があられましたら是非教えてください。 以上よろしくお願いします。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-10-27 18:34
引用:

ActiveDirectory(以下A/Dと略)

# 些細なことで明確なルールがあるわけじゃないけど、ActiveDirectoryのことを
# 「A/D」と略すのってみたことがありません。「AD」は結構多いですが。


引用:

しかし、Computerをまとめて登録するメリットなり目的がわかりません。


引用:

DOMAINに参加の設定でこのとき、ネットのAdministrator+passwordで確認という操作が必要となると思います。確認時点でA/DにComputerとして登録されるのではないでしょうか?

この認証が不要になるからです。
この認証は、設計次第ですが、ドメインに対する権限あるグループに対してのみ許可する
のが通例です。DomainAdminsやAccountOperatorsなどですね。
それより低い権限を持ったグループに許可することもできますが、
それじゃコンピュータアカウントの管理なんてやりきれるわけもなく。

で、あらかじめコンピュータアカウントを作成してない場合は、
参加する端末にて、権限を持つユーザでの認証情報を入力しなければなりません。
管理者が参加のたびに参加させたいマシンをいじるのが現実的じゃない場合もありますし、
例えば悪意をもったユーザがキーロガーでも入れた端末の参加依頼をしてきたら、
なんて思ったらぞっとしませんか。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
ま〜さ
会議室デビュー日: 2005/10/27
投稿数: 2
投稿日時: 2005-10-28 13:50
Mattunさん アドバイスありがとうございます。

認証が不要になるのですか?
私が試したとき管理者IDの入力を求められたので認証は必ず必要なのかなと思ってました。ClientPCのAdminでLOCALにLOGONしてネットワーク/システムを変更しただけでした。再度試してみます。
認証の設計というはよくわかってませんので、もうちょっと調べてみます。
---------------------
(11/01)
ActiveDirectoryのComputerで制御の委任をすればAdministrator+Passwordでなく、
一般Userでも参加できることがわかりました。

全部設定終わったら委任をはずしとかないといけないのかな?


[ メッセージ編集済み 編集者: ま〜さ 編集日時 2005-11-01 10:55 ]

-----------------------------------------------------------------
(11/02)
 委任すると登録していないComputerでもAdmini以外のUserでもDOMAIN参加させることができます。DSADDで事前に登録することの優位性にもならないようです。
 Clientから登録+参加させるとDomainComputerのグループにしか属しませんが、DSADDで登録することでまとめて他のGroupに属することの登録が可能になります。説明も登録できます。このあたりが便利なところですかね。
 今回の設定ではComputerはDomainComputer以外に属させるつもりはなくUserでのみGroup登録しようと考えていますのでDSADDの登録はあまり意味がなさそうです。
 参加委任すればAdminiのパスワードを他人に教える必要はなくなりますのでこれは実施したいと思います。

[ メッセージ編集済み 編集者: ま〜さ 編集日時 2005-11-02 11:03 ]

[ メッセージ編集済み 編集者: ま〜さ 編集日時 2005-11-02 11:07 ]
1

スキルアップ/キャリアアップ(JOB@IT)