- - PR -
ActiveDirectoryでのコンピュータのアカウントの取り扱い
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2005-12-09 23:06
いつもお世話になっております.
長文失礼致します. ActiveDirectoryでのコンピュータのアカウントの取り扱いが判らず困っております. 識者の皆様のお力を貸していただけないでしょうか? 現在,Windows Server 2003でドメイン(hoge.local)を作成しております. 小規模なのでDNSはドメインコントローラと同じマシンで動かしています. クライアントのテストを行うために,Windows XP Professional をクリーンインストールしました. インストール時はドメインに参加させませんでした. その後,「システムのプロパティ」→「コンピュータ名」タブ→「変更」ボタンから,コンピュータ名“name1”でドメインに参加させることができたので,クライアントマシンを停止させ,ドメインコントローラーでコンピュータのアカウントを削除しました. その後,クライアントマシンを起動して,ドメインではなく「このコンピュータ」にログインしてワークグループに戻しました. それから,クライアントを再起動して違うコンピュータ名“name2”でドメインに参加させようとしたのですがうまくいきませんでした. ドメインコントローラ側でコンピュータアカウントを作成しても,しなくても結果は一緒でした. 最初にコンピュータ名“name1“で参加させたときは,前もってドメインコントローラでコンピュータのアカウントを作成しておかなかったのですが,ドメインに参加させることができ,参加後ドメインコントローラに“name1“というコンピュータのアカウントができてきました. 解説本などを読みますと,「コンピュータのアカウントを前もって作成しておかないとドメインに参加できない」とあるのですが,なぜ最初参加できたのでしょうか? また,コンピュータ名を“name2”として,ドメインに参加するにはどうすればよいのでしょうか? | ||||||||
|
投稿日時: 2005-12-10 00:02
こんばんわ.
処理の順番の問題だと思います. 最初の Active Directory に参加した際, Active Directory の DomainAdmins の account で参加の処理をしませんでしたか? その際に computer account を作成しています. 予め computer account を作っておけば, DomainAdmins ではなくても Active Directory に参加できたと記憶しています.
sysprep などで SID を再生成したらどうでしょう? | ||||||||
|
投稿日時: 2005-12-10 06:35
kazさん,いつもお世話になっております.
ご指摘の通りで,DomainAdmins のメンバで処理しました. あらかじめ,computer account を作っておけば DomainAdmins でなくても追加できるというのは欲しかった機能なので試してみたいと思います.
お恥ずかしながら,sysprepというツールがあることすら知りませんでした. 早速ネットで調べて見たいと思います. | ||||||||
|
投稿日時: 2005-12-10 15:58
こんにちわ.
ここでも何度か話にあがっていたと思います.
正確には System Preparation Tool です. http://www.atmarkit.co.jp/fwin2k/win2ktips/553sysprep/sysprep.html ご参考までに. | ||||||||
|
投稿日時: 2005-12-12 02:32
こんばんわ.週末家を空けていたので返事が遅くなってしまい申し訳ありません.
ご丁寧に有難う御座います. 教えて頂いたリンク先にも,「コンピュータ名を変更しても,SIDが同じだと管理情報が衝突することがある.」とありましたので,sysprepを用いて,SIDを変更すれば良いことは分かりました. 1つ気になるのですが,SIDを変更して登録しても,変更前のSIDの管理情報が残っているということでしょうか? もしそうでしたら,削除した方がよいのでしょうか? | ||||||||
|
投稿日時: 2005-12-12 08:55
おはようございます.
一般的にはその必要は無いと思います. ですが,その computer account を削除した際の手順に問題があると思います. 通常は,Active Directory の computer account を削除 -> client 側で処理 ではなくて,最初から client 側で「Active Directory の Domain から離脱する」 ための処理をします. その際,client は Active Directory と通信して, 自分の computer account を削除するように Domain Controller に依頼します. そのため,敢えて Domain Controller 側で computer account を 削除する手順を踏む必要は無いはずです. では「なぜ Active Directory に痕跡が残留しているらしい動作をするのか?」 という点は自分にはわかりません. しかし結果的にそれが残っているなら,SID を別のものにすることで Active Directory には「これまで接触したことの無い computer account である」 と欺瞞できると考えました. あくまでも「場当たり」な考えに基づいていますので, このやり方が唯一無二のものではないと思います. 以上,ご参考までに. | ||||||||
|
投稿日時: 2005-12-13 04:23
こんばんわ.お世話になっております.
やはり,ドメインからハズす時の作業がマズかったのですね. 次回から気をつけます. syspreを使用して,「セキュリティ識別子を再作成しない」のチェックを外してSIDを再作成するようにし,再シールを行いました. 本当にSIDが変わったのかは,わかりませんが,シリアル等を入力してコンピュータ名も新しいものに設定しました. そして,ドメインコントローラで新しいコンピュータのアカウントを作成し,クライアント側から,ドメインへの参加を試みました. 手順は以下の通りです. 1.「システムのプロパティ」→「ネットワークIDウィザード」を実行 2.「このコンピュータはビジネスネットワークの一部です」を選択 3.「ドメインを使用している」を選択 4.ログオンに使用するドメイン上のユーザ名,パスワード,ドメインNetBIOS名を入力 5.すでにドメインにコンピュータアカウントを作成しているが,「○○ドメイン上にこのコンピュータのアカウントが見つかりませんでした」と言われるので,コンピュータ名とコンピュータのドメイン(ユーザと同じもの)を入力 6.ドメインに参加するアクセス許可を与えられたアカウントの名前,パスワード,ドメインを入力 ここで,「次のエラーが発生したため,このコンピュータはドメインに参加することができませんでした.指定されたサーバは,要求された操作を実行できません」というエラーがでて,ユーザアカウントの追加に進めません.ドメインに参加させる作業は,アクセス許可を与えたユーザ,ドメインのAdministrator両方で試しましたがダメでした. [ メッセージ編集済み 編集者: h2 編集日時 2005-12-13 04:25 ] | ||||||||
|
投稿日時: 2005-12-13 18:30
こんばんわ.
本当に念のための確認なのですが, ※最初の書き込みで DNS に触れているのでそんなことは無いと思いますけど. DNS server はちゃんと参照していますよね? | ||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。