- PR -

クライアントPCをADドメインに参加させるには

1
投稿者投稿内容
鳥かご
会議室デビュー日: 2004/05/11
投稿数: 5
投稿日時: 2006-12-21 17:47
ADドメイン環境を構築し、社内LANに接続されているPC全部をドメインに参加させたいのですが、ワークグループのまま使用されているPCが存在しています。
これらのPCをADドメインに参加させるうまい方法はないものでしょうか?
どせい
大ベテラン
会議室デビュー日: 2006/10/25
投稿数: 145
投稿日時: 2006-12-21 18:18
引用:

鳥かごさんの書き込み (2006-12-21 17:47) より:
ADドメイン環境を構築し、社内LANに接続されているPC全部をドメインに参加させたいのですが、ワークグループのまま使用されているPCが存在しています。
これらのPCをADドメインに参加させるうまい方法はないものでしょうか?

念写発動。

要件1:社内LAN上のクライアントPCを全てActiveDirectoryのドメインに参加させたい
要件2:要件1を実行するとき、1台1台設定していく方法は避けたい

ってことでいいの?すごく大雑把だけど。

それとも、Workgroupのまま使用しているPCのプロファイル移行を手間かけずにやりたいの?

もっと詳細に書かないと、「何を知りたいのか」が伝わらんよ。

鳥かご
会議室デビュー日: 2004/05/11
投稿数: 5
投稿日時: 2006-12-21 18:30
説明不足ですみませんです。

要件1についてアドバイスいただきたくて投稿しました。
グループポリシーを使ってクライアントPCのセキュリティを向上させたいのですが、
ワークグループのまま使われているPCが存在するため、セキュリティ対策が徹底できず困っています。

あと、要件2も教えてほしいです。
どせい
大ベテラン
会議室デビュー日: 2006/10/25
投稿数: 145
投稿日時: 2006-12-22 18:20
引用:

鳥かごさんの書き込み (2006-12-21 18:30) より:
説明不足ですみませんです。

要件1についてアドバイスいただきたくて投稿しました。
グループポリシーを使ってクライアントPCのセキュリティを向上させたいのですが、
ワークグループのまま使われているPCが存在するため、セキュリティ対策が徹底できず困っています。

あと、要件2も教えてほしいです。


もう一度言うよ?

もっと詳細に書かないと、「何を知りたいのか」が伝わらんよ。

背景=どういう理由でしたいのか 例)上司からの命令
現状=今、どういう状態なのか  例)社内はADに参加しているPCとしていないPCとが台数で半々
目標とするゴール 例)社内全てのPCをADに参加させて、ドメインセキュリティポリシーで一括管理したい
ActiveDirectory等に関するお前さんの知識量 適当な例)AD?なにそれ、おいしいの?
お前さんの立場  適当な例)管理者ではない(PCの設定を変えて回る作業に対する決裁権がない)
etc.


上に挙げた分を全部詳細に書いたところで、十分とは限らないが。
 でも今の情報量だと「じゃあ、1台ずつ設定していけば?」で終わりかねない。
読み手はエスパーじゃないんだから、知っている限りの情報を、手を抜かずに書こうよ。
チャブーン
大ベテラン
会議室デビュー日: 2006/11/25
投稿数: 149
投稿日時: 2006-12-23 14:03
チャブーンです。

> ADドメイン環境を構築し、社内LANに接続されているPC全部をドメインに
> 参加させたいのですが、ワークグループのまま使用されているPCが存在しています。
> これらのPCをADドメインに参加させるうまい方法はないものでしょうか?

単純に「ワークグループの端末が利用者の意図にかかわらず勝手にドメインに参加する」というしくみそのものは Active Directory にはありません。これは、サーバからの Push 情報で何とかする、ことはないためです。

仕方ないので、こういう場合手作業で (条件があえば特定端末からリモートでバッチ処理はできます) netdom join コマンドを使って一台ずつ参加させる方法があります。

細かいところは、たとえば下のページを見ると書いてありますよ。

http://www.cmu.edu/computing/andrew-windows/faq.html#netdom

ただし、いくつもの条件をクリアしないといけない (各端末のファイアウォールの有無やローカルアカウントの共有とセキュリティモデルの設定、ローカル管理者アカウントのパスワードがコントロールできているなどが必要です) ので、かなり大変だろうと思います。

もっとお金をかけて、クライアント管理システム (高価です) を導入すれば、もう少しは融通はきくでしょうが、これはこれで大変だと思います。

また、ドメイン参加させたクライアントで "ドメインユーザでログオンさせることを強制したい" という要望も本質的にはムリなので、「利用者になにも注意を与えずに」スマートに指定された環境を使ってもらう、ということは難しいということは覚えておいてください。

> グループポリシーを使ってクライアントPCのセキュリティを向上させたいので
> すが、ワークグループのまま使われているPCが存在するため、セキュリティ対
> 策が徹底できず困っています。

「セキュリティ対策」とおっしゃっているのは、グループポリシーで何とかなる範囲、という話だけなんでしょうか?"管理者が管理できないマシンはシステム内におかない" も広い意味ではセキュリティ対策かもしれません。

「新規クライアント端末のシステム内への展開の手順」なんかを社内ルールとして決めておくと、苦労も減ると思いますよ。
1

スキルアップ/キャリアアップ(JOB@IT)