端末をドメイン参加させる際の、アカウントごとの台数制限についての情報が混ざりすぎてわからなかったので調べた
端末のドメイン参加アカウントとは
Active Directoryにドメイン参加させる際には、ドメインに所属しているアカウントが必要なのだが、これの権限についての情報が古かったのでWindows Server 2016で試してみた。
確認したパターンは4種類
他にもパターンはあるかもしれないが、試した限りでは4パターンでドメイン参加の権限を与えることができた
Domain Admins 等、上位特権を持つ場合
ADの初期設定では大体このパターンだと思われる。
上位特権には後述の権限が既に付与されており、ドメインに参加させる台数の制限も無い。
[子オブジェクトの作成]の権限を持つ場合
ADのドメイン参加先(デフォルトはComputers)に対し、ドメイン参加を行うアカウントが[子オブジェクトの作成]の権限を持っている場合、台数制限なしで登録できる。
設定には[Active Directory ユーザーとコンピューター]から、対象のOUを右クリックしてプロパティ表示、セキュリティタブから対象のアカウントに対し、[子オブジェクトの作成]の権限を追加するだけ。
この権限は指定したOUのみに有効なので、指定したOU配下のすべてのOUに参加させたい場合は、[セキュリティ]の詳細設定から、[このオブジェクトとすべての子オブジェクト]等を指定する必要がある。
事前にコンピュータオブジェクトを手動登録
管理特権を持つユーザなどで、事前にドメイン参加対象のコンピューターと同名のコンピューターオブジェクトを新規作成しておく場合、台数制限なしで登録できる。
新規作成の際に指定したアカウントのみが対象。
[制御の委任]から[コンピューターオブジェクトの作成]を委任した場合
[Active Directory ユーザーとコンピューター]から、対象のOUを右クリックし、[制御の委任]から[コンピューターオブジェクトの作成]を対象アカウントに委任した場合、台数制限ありで登録できる。
台数制限は [ms-DS-MachineAccountQuota]という属性にて指定可能なので、台数制限が必要な場合はこの設定を利用する必要がある。
メリットは台数制限を扱えることと、制御の委任先に[子オブジェクトの作成]権限のような広い権限を付与しないで済むこと。
この台数制限というのは、現在登録されているコンピューターの数から計算される(例えば、台数上限に達しても、既に登録済みのものを削除すれば再度登録できるようになる)ため、1ユーザに2台のPCを自由に登録できるADを作りたい…などの限定的なシチュエーションで使える機能と言えるのだろうか。
