【図解/AD】ドメイン参加の仕組みと手順,メリット,参加できない時の注意点~ | SEの道標
ActiveDirectory

【図解/AD】ドメイン参加の仕組みと手順,メリット,参加できない時の注意点~

Active Directory のドメイン参加とは

Active Directory にはドメイン参加した PC やサーバをコントロールする大きな力があります。

初期セットアップした状態の PC は『WORKGROUP 環境』ですが、社内のドメインコントローラの管理下に入ることを『ドメイン参加』と言い、この操作を行うことで『ドメイン環境』になることができます。

ドメイン参加はクライアント側 (ドメイン参加したい PC やサーバ) での操作が必要です。

ドメイン参加のメリット・デメリット

一般ユーザのメリット・デメリット

一般ユーザにとってのメリットは、ドメインユーザでログインすることで、ドメイン配下のどの PC にログインしても、常に自分の環境を維持できることです。いわゆる『フリーアドレス』を実現することができます。

これはデフォルトで設定されるわけではありませんが、移動ユーザープロファイル/フォルダリダイレクトの機能を使って実現されます。

また、ドメイン参加している共有ファイルサーバや Exchange サーバ等の『Kerberos のシングルサインオン対応しているサーバ』へのアクセスは、認証無しでアクセス可能になります。

一方、デメリットとしては PC の設定に制限が掛かることです。制限の掛かった設定については変更しようとしてもグレーアウトされ変更できなくなります。

これは後述する『グループポリシー』という機能によって管理者が意図した通りに制限を掛けるためです。管理者にとっては一元管理という面でメリットになるのですが、一般ユーザにとってはデメリットです。

管理者のメリット・デメリット

管理者にとってのメリットは、いくつかあります。

まず前述の通り、『グループポリシー』という機能を使うことで、管理者の意図した通りに PC の制御ができます。Windows Update を定期的に実行するように強制したり、Windows Firewall を強制的に有効にしたり、移動ユーザープロファイル/フォルダリダイレクトを有効にしてユーザデータをファイルサーバ上で集中管理することもできます。

また、ファイルサーバのアクセス権設定をローカルユーザではなくドメインユーザで集中管理できます。ローカルユーザを使う場合はファイルサーバが複数台あるときはそれぞれに対してローカルユーザを作成し、そのユーザに対してのアクセス権を与える必要がありますが、そうではなく、ドメインユーザに対してアクセス権を与えれば、いちいちユーザを作成せずとも、各サーバでドメインユーザに対して適切なアクセス権を与えることができます。

このあたりのより具体的な説明については以下をご参照下さい。

【図解】ドメインユーザとローカルユーザの違い,使い分け (ローカルadminとドメインadmin)
ローカルユーザーとは Active Directory ドメインに参加していない...

このように、Active Directory はセキュリティ向上や管理性向上のために使われます。

管理者のデメリットはあまり無いです。

ドメイン参加の手順

前提としてドメインコントローラが構築されている状態とします。

ドメイン参加したい PC やサーバ側で以下の手順を行います。

1. DNS サーバの設定変更 (必要に応じて)

PC 側の DNS サーバの設定を『ドメイン管理下の SRV レコードを保有する DNS サーバ』に向けます。これはほとんどのケースで、ドメインコントローラ (いわゆる AD サーバ) に対して向ければ OK のはずです。(ほとんどのケースで、ドメインコントローラとDNSサーバが兼務しているため。)

最初から向けられているケースもありますので、その場合はこのステップは不要です。

2. WORKGROUP 環境からドメイン環境に指定し、再起動

PowerShell でのやり方

コマンド 1 つで完了します。

管理者権限で PowerShell を起動し、Add-Computer を打ちます。

PS C:> Add-Computer example

その後再起動すればドメイン参加されます。

GUI でのやり方

コントロールパネルの「システム」から設定変更をします。下記画面の「設定の変更」をクリックします。

コンピューター名の「変更」をクリックします。

所属するグループをワークグループから「ドメイン」に変更し、ドメイン名を入力し、OK ボタンをクリックします。

ドメイン管理者の ID / パスワードを入力し、以下の画面が表示されれば完了です。(ドメイン管理者ではなくドメインユーザでも 10 台までなら参加させることができます。)

ドメイン参加をすると Active Directory ドメインコントローラ内でドメイン参加した PC を表す『コンピューターアカウント』が作られます。

『コンピューターアカウント』はデフォルトで『Computers』という OU (コンテナ) に作成されますが、あらかじめ手動で別の OU にコンピューターアカウントを作成しておけば、ドメイン参加時にホスト名に合致するコンピューターアカウントが流用されます。

3. ドメインユーザでログイン

あらかじめ配られたドメインユーザの ID / パスワードを使ってログインします。ドメインの指定方法はユーザ名の前に『ドメイン名\』をつけるか、ユーザ名の後に『@ドメイン名』をつけます。

example.com ドメインで exuser01 でログインする場合の例

example\exuser01? もしくは? exuser01@example.com

ドメイン参加・再参加できない場合の注意点

DNSサーバは正しいか?

ドメイン参加できないケースのほとんどは、ドメイン参加を行うクライアント側の『プライマリ DNS サーバ』の設定が不適切なことです。

再度、クライアント側の DNS サーバ設定を確認しましょう。

コンピュータ名は重複していないか?

ホスト名が重複している場合、後にドメイン参加した PC によってコンピュータアカウントが上書きされてしまいます。

その場合、上書きされた PC はセキュアチャネルが確立できず、ログオン時にエラーとなります。

『競合を発生している無効なアカウントを削除してもらってください。』や『このワークステーションとプライマリ ドメインとの信頼関係に失敗しました。』と表示される場合、『コンピューターアカウント』のホスト名が他と重複している可能性があります。

重複ホストが無いかを確認し、必要に応じてドメインコントローラ上から該当ホスト名のコンピュータアカウントを削除してから、再参加をしてみましょう。

ちなみに、この状態はいわゆる「セキュアチャネルが破損した状態」です。コンピュータアカウントのパスワードが不一致になるためです。詳細は以下をご参照下さい。

【図解】セキュアチャネルと netlogon (MS-RPC) の仕組み
セキュアチャネルとは セキュアチャネルとは、『ドメインコントローラ (DC)』と...

ドメインユーザを使っていないか?

ドメインユーザでもドメイン参加させることは可能ですが、10台までという制限があります。これはメニューバーの「表示」⇒「拡張機能(V)」をONにした後、ドメイン名 (この例だと example.com) を右クリックしてプロパティを開き、「属性エディター」タブから確認できます。

ms-DS-MachineAccountQuota が 10 となっていることが確認できます。この設定により、一般のドメインユーザでは 10 台までしかドメイン参加させることができません。大量の PC をドメイン参加させるためにはドメイン admin を使いましょう。

Windows Home 等のドメイン非対応の OS を使っていないか?

そもそもの話で、ドメイン参加可能な Windows は Windows 10 Pro/Enterprise 等です。Windows 10 Home はドメイン参加できません。

ドメイン参加時のパケットキャプチャ

.pcap 形式のものを以下からダウンロードできます。

https://milestone-of-se.nesuke.com/pcap/join-to-domain.pcap

【厳選 3 冊】Windows を学ぶための本

Windows Serverのエディションやライセンス、用語といった基本から、セットアップ、ネットワーク、ユーザー/グループ、ディスク、ハードウェア、アクセス許可、クォータ、ボリュームシャドウコピー(VSS)、ファイル/フォルダー共有、プリンター、サーバー管理、WebサーバーやFTPサービスを提供するInternet Information Services(IIS) 10.0、Hyper-Vやコンテナー等の仮想化技術、Active Directoryまで説明します。
Active Directoryの概念および導入、構成管理方法を詳細な手順と豊富な画面を使ってわかりやすく解説します。本書では、ドメインサービスを中心に解説し、その他のサービスについても概要を解説します。Active Directoryを初めて使う方でも、画面を見ながら手順に従って操作するだけで簡単に目的の作業を行うことができます。ある程度使いなれている方には、Active Directoryをより使いこなすためのリファレンスとしてお使いいただけます。
全操作、全機能が載ってるから迷わない!基本から便利技・トラブル対応まで全部わかる!基本の操作から最新アプリ、昔ながらの操作も全部できる!はじめてのタッチ操作、はじめてのWindows10の人も安心!「やりたいこと」がすぐできるTIPS400!わかりやすい索引で「あれがしたい」「これがしたい」から探せる、側にあれば安心な1冊!自由自在Windows10を操ろう。

コメント

タイトルとURLをコピーしました