ドメイン参加コンピュータ サービス アカウントを構成する方法

デフォルトでは、標準ユーザーはコンピュータをドメインに参加できます。それは望まないことです。また、管理者はドメイン管理者アカウントを使用して、コンピュータをドメインに参加させます。これはすべての権限を持っているため最も簡単ですが、お勧めできません。代わりに、制限されたアクセス許可を持つ新しいアカウントを作成し、それを使用してコンピュータをドメインに参加させる必要があります。この記事では、ドメイン参加コンピューター アカウントを構成する方法について説明します。

コンピュータをドメインに参加させる

コンピューターをドメインに参加させると、コンピューターもドメインの一部になるため、非常に便利です。ただし、コンピュータをドメインに参加できるのはドメイン管理者だけではありません。標準ユーザー アカウントでもコンピューターをドメインに追加でき、追加すると、自動的にコンピューターの所有者になります。これにより、簡単ないくつかの手順でコンピュータを制御し、自分自身をローカル管理者にすることができるようになります。

デフォルトでは、認証されたユーザーは最大 10 台のコンピュータをドメインに追加できます。ドメインへのワークステーションの追加グループ ポリシー オブジェクト (GPO) は、コンピュータへの参加を許可するユーザーを決定します。デフォルトでは、これは「認証されたユーザー」に設定されています。各ユーザーが追加できるコンピューターの最大数は、ms-DS-MachineAccountQuota 設定によって制御され、デフォルトは 10 です。

ユーザーがコンピュータをドメインに参加させると、そのコンピュータ オブジェクトに対する特定の権限 (GenericAll など) が自動的に付与されます。これらの権限を通常のユーザーに付与しないようにするには、この設定を編集し、コンピューターをドメインに参加させるための専用アカウントを使用することをお勧めします。

推奨読書:Windows 11 PCをWindows Serverドメインに参加させる方法

注記：ユーザーは、ドメインにユーザー アカウントを持っている限り、自分のログイン名を使用してドメインに最大 10 台のデスクトップを追加できます。これはデフォルトで設定されており、この記事に従って変更することをお勧めします。

ステップ 1. 認証されたユーザーをグループ ポリシーから削除する

すべてのユーザーとグループをグループ ポリシーから削除します。

1. にサインインしますドメインコントローラー
2. 始めるグループポリシー管理
3. 右クリックして、デフォルトのドメインコントローラーポリシー
4. 選択編集

5. 道へ行く[コンピュータの構成] > [ポリシー] > [Windows 設定] > [セキュリティ設定] > [ユーザー権利の割り当て]
6. ポリシーをダブルクリックしますワークステーションをドメインに追加する

7. すべてのユーザーとグループを削除します
8. クリックわかりました

9. ことを確認します。ワークステーションをドメインに追加するポリシー設定は空の

マシンアカウントのクォータ属性値を次のように設定します。0AD では、次の手順に従ってください。

1. 始めるActive Directory ユーザーとコンピュータ
2. をクリックしてくださいビュー
3. 有効にする高度な機能

4. 右クリックして、ドメイン
5. クリックプロパティ

6. 属性を選択しますms-DS-MachineAccountQuota
7. クリック編集

8. 値を次のように設定します。0
9. クリックわかりました

10. ことを確認します。ms-DS-MachineAccountQuota属性は値を示します0

同じことを PowerShell で実行したいとします。

ms-DS-MachineAccountQuota 属性値を取得します。

Get-ADDomain | Get-ADObject -Properties ms-DS-MachineAccountQuota 

ms-DS-MachineAccountQuota を次のように設定します。0。

Set-ADdomain -Identity contoso.com -Replace @{"ms-DS-MachineAccountQuota"="0"}

ステップ 3. 専用アカウントを作成する

コンピューターをドメインに参加させるために使用する専用のサービス アカウントを作成します。

1. 始めるActive Directory ユーザーとコンピュータ
2. 強力なパスワードを使用して専用のサービス アカウントを作成する

3. 次のことを確認してください。パスワードは無期限ですアカウントオプションが選択されています

ステップ 4. アカウントにアクセス許可を付与する

コンピューターをドメインに追加、削除、再参加するために必要なアクセス許可をサービス アカウントに付与します。

1. 始めるActive Directory ユーザーとコンピュータ
2. デフォルトを右クリックしますコンピュータ容器
3. 選択委任制御…

4. クリック次

5. サービスアカウントを選択しますsvc-domainjoin
6. クリック次

7. 選択委任するカスタムタスクを作成する
8. クリック次

9. 選択フォルダ内の以下のオブジェクトのみ
10. 有効にするコンピュータオブジェクトリストから
11. 有効にする選択したオブジェクトをこのフォルダーに作成します
12. 有効にするこのフォルダ内の選択したオブジェクトを削除します
13. クリック次

14. 選択フルコントロール(クリックするとすべてが選択されます)

注記：選択させていただきますフルコントロールサービス アカウントを使用して、コンピュータをドメインに参加させるだけでなく、コンピュータの再参加、削除、名前変更にも使用したいためです。

15. それを確認してくださいすべて選択されています
16. クリック次

17. クリック仕上げる

ステップ 5. ドメイン参加コンピュータ アカウントを確認する

すべての設定が完了したら、変更をテストすることが重要です。

注記：管理者はすべての権限を持っているため、コンピュータをドメインに参加させることができます。ただし、これらのアカウントの使用はお勧めできません。最小限の権限を持つ作成したサービス アカウントを使用する必要があります。

コンピューターにサインインし、標準ユーザー アカウントを使用してコンピューターをドメインに参加させます。エラーが表示されます。

サービス アカウントを使用してコンピュータをドメインに参加させると、正常に動作します。

それでおしまい！

結論

ドメイン参加コンピューター アカウントを構成する方法を学習しました。まず、ユーザーがコンピューターからドメインに参加することを制限します。その後、専用のサービス アカウントを設定し、このアカウントを使用してコンピュータをドメインに参加させます。チーム全体がこのことを認識し、管理者アカウントを今後使用しないようにしてください。

この記事は楽しかったですか? KRBTGT アカウントのパスワードのリセットも気に入っていただけると思います。ぜひフォローしてこの記事をシェアしてください。