【Active Directory】一般ユーザーがドメインに参加させられるPCの数は10台

  • Article

安納@札幌です。

先ほど、セミナールームで MVP の @NAOKI0311 さんとお話をしていたところ、今日初めて知ったことがあります…。それは、一般ユーザーがドメインに参加させられるクライアントの数には上限があり、それが10台までだということ..。

フィールドを担当していた時代は sysprep で自動的にドメイン参加をさせていたので、こんな制限があるなんてことは考えたこともありませんでした…お恥ずかしい…。

(参考情報)
ドメイン ユーザーがワークステーションまたはサーバーをドメインに参加させられない
https://support.microsoft.com/kb/251335/

では、これは回避できるのか?

どうやら、Active Directory の規定値を変更することで回避することができそうです。以下は当該情報が記載されたKBです(英語ですみません)。

Default limit to number of workstations a user can join to the domain
https://support.microsoft.com/kb/243327

手順は簡単です。

  1. ADSI Edit を起動する
  2. [既定の名前付きコンテキスト]に接続する
    image
  3. [既定の名前付きコンテキスト]-[<ドメイン名>] のプロパティを開く
     image
  4. ms-DS-MachineAccountQuota を編集して最大値を変更する
    image

もちろん、この設定は数を増やすだけでなく、数を制限するのに使うこともできます。1人1台までしかドメインに参加させたくない!という場合には、この値を1にすればよいということです。

ちなみに、「当該ユーザーが、既に何台のWSをドメインに参加させているか?」を調べるには、コンピュータアカウントの「ms-DS-CreatorSID」属性を調べればよいみたいなのですが、これについてはもう少し調べてみたいと思います。