- PR -

2003AvtiveDirectoryのコンピュータアカウントについて

1
投稿者投稿内容
fineshot2
会議室デビュー日: 2008/05/23
投稿数: 3
投稿日時: 2008-05-23 14:41
このような事は可能でしょうか。

予めComputerOU上に用意したコンピュータアカウントにてPCがドメインに参加した場合、
そのPCのSIDがActiveDirectoryに登録され、他のPCは同一のコンピュータアカウントで
ドメインに参加できないようにしたい。
※AAAというコンピュータアカウントでAというPCがドメインに参加します。
 しかし、Aがオフライン時にBというPCがAAAというコンピュータアカウントで
 ドメインに参加しようとすると、「ADドメインへようこそ!」と出てしまうので
 それを回避したいのです。

アドバイス頂けたら幸いです。何卒宜しくお願い致します。
tachi
会議室デビュー日: 2006/01/22
投稿数: 18
お住まい・勤務地: 横浜・東京
投稿日時: 2008-05-28 23:35
大丈夫。できます。

ドメイン参加後に、AAAという名前のコンピュータアカウントのアクセス権を編集し、ドメイン参加に必要なアクセス許可をはく奪します。

はく奪すべきACEは下です。
・アカウント制限の書き込み
・DNSホスト名への検証された書き込み
・サービスプリンシパル名への検証された書き込み
・パスワードのリセット


ここで、アクセス権をはく奪すべきアカウントは、ドメイン参加をするユーザおよびユーザが所属するグループのすべてです。
この際、everyoneグループに上記アクセス権を拒否してしまうのも手です。

fineshot2
会議室デビュー日: 2008/05/23
投稿数: 3
投稿日時: 2008-06-02 15:20
お礼が遅れて申し訳ありませんでした。

アドバイスありがとうございます。
ご教授頂いている方法は、コンピュータアカウントを作成し、PCをドメインに参加
させてから、コンピュータアカウントのアクセス権を剥奪するという方法ですよね?

運用として、その方法ですと非常に煩雑化してしまうので、できればコンピュータ
アカウントを作成する際に「ドメインへの参加は1回のみ」という仕組みをしたいのですが・・・

いかがでしょうか。そのような方法はありますでしょうか。
何卒宜しくお願い致します。
tachi
会議室デビュー日: 2006/01/22
投稿数: 18
お住まい・勤務地: 横浜・東京
投稿日時: 2008-06-03 23:59
一般的な運用で用いたいのですね。
残念ながら、仕組みとして「ドメインへの参加は1回のみ」という方法はありません。
アクセス権が付与されていますので、はく奪しないと参加できてしまいます。

自分でしたら、スクリプトを用いてアクセス権の修正を動的もしくは定時バッチで
変更すると思います。
ドメイン参加が済んでいるコンピュータアカウントはOperationSystem属性など登録済みとなるので、はく奪すべきアカウントかどうかは判断ができます。

リアルタイムにはく奪したいのであれば、セキュリティログを監視するスクリプトを作成し、ドメイン参加時に発生するアカウントの管理の成功の監査をトリガーにして、アクセス権を変更します。

スクリプトについては、Microsoft社のスクリプトセンターなど参考になります。
ご一読を。。

fineshot2
会議室デビュー日: 2008/05/23
投稿数: 3
投稿日時: 2008-06-05 09:28
ありがとうございました。

なるほど、もうこれは仕様なのですね・・・。
アドバイス頂いたとおり、属性を見て、該当アカウントからアクセス権を剥奪する
スクリプトを作成したいと思います。

大変お世話になりました。
今後とも何卒宜しくお願い致します。
1

スキルアップ/キャリアアップ(JOB@IT)