@WIKI
ドメイン ユーザーがワークステーションまたはサーバーをドメインに参加させられない
最終更新:
atyou
-
view
ドメインの管理者権限のないユーザー権限で、ワークステーション(クライアント)をドメインに参加させられない場合がある。
このとき、次のようなエラーが表示される。
このとき、次のようなエラーが表示される。
ネットワーク ID ドメイン ドメイン名 に参加中に次のエラーが発生しました: このコンピュータをドメインに参加させることができませんでした。このドメインに作成できるコンピュータアカウントの最大数を超えています。システム管理者に問い合わせて最大数をリセットするか、または増やしてください。
Windows 2000 は既定では、ドメインの Authenticated Users グループに「ドメインにワークステーションを追加」権限が与えられる。
この権限が有効な場合、Authenticated Users は設定された最大値に達するまでアクセスコントロールリスト(ACL)のチェックを回避することができる。
誤用を防ぐために、どの Authenticated Users でも参加させることのできるコンピュータアカウントの最大数は既定で 10 に設定されている。
この権限が有効な場合、Authenticated Users は設定された最大値に達するまでアクセスコントロールリスト(ACL)のチェックを回避することができる。
誤用を防ぐために、どの Authenticated Users でも参加させることのできるコンピュータアカウントの最大数は既定で 10 に設定されている。
なお、Administrators グループにはこの制限はない。
この問題を解決するためには、以下のいずれかの方法を使用する。
方法 1 : あらかじめユーザーのコンピュータアカウントを作成する
方法 2 : ユーザーに「コンピュータオブジェクトの作成」と「コンピュータオブジェクトの削除」のアクセスコントロールエントリ(ACE)を与える
方法 3 : Authenticated Users グループのメンバがドメインへ参加させることのできるコンピュータ数の既定の制限を変更する
方法 1 : あらかじめユーザーのコンピュータアカウントを作成する
方法 2 : ユーザーに「コンピュータオブジェクトの作成」と「コンピュータオブジェクトの削除」のアクセスコントロールエントリ(ACE)を与える
方法 3 : Authenticated Users グループのメンバがドメインへ参加させることのできるコンピュータ数の既定の制限を変更する
○ 対処方法 (方法 1)
1. [スタート]→[プログラム](または[すべてのプログラム])→[管理ツール]→[Active Directory ユーザーとコンピュータ]コンソールを開く
2. コンピュータアカウントを作成したいコンテナを右クリックし、[新規作成]→[コンピュータ]を選択する
3. [コンピュータ名]ボックスに、ドメインに参加させたいコンピュータの Windows 2000 で使用するコンピュータ名を入力する※ [コンピュータ名 (Windows 2000以前)]ボックスにも既定で同じ名前が入力される
4. [ユーザーまたはグループ]ボックスの右の[変更]ボタンをクリックする
5. [ユーザーまたはグループの選択]ダイアログでこのコンピュータをドメインへ追加させることのできるユーザーまたはグループを選択し、[OK]ボタンをクリックする
6. Windows NT 4.0 およびそれ以前のオペレーティングシステムにこのコンピュータ名のオブジェクトを使用させたい場合は、[Windows 2000 以前のコンピュータに、このアカウントの使用を許可](Windows 2000 Server の場合)または[このコンピュータアカウントを Windows 2000 以前のコンピュータとして割り当てる](Windows Server 2003 の場合)のチェックボックスをクリックする
7. [OK]ボタンをクリックする
1. [スタート]→[プログラム](または[すべてのプログラム])→[管理ツール]→[Active Directory ユーザーとコンピュータ]コンソールを開く
2. コンピュータアカウントを作成したいコンテナを右クリックし、[新規作成]→[コンピュータ]を選択する
3. [コンピュータ名]ボックスに、ドメインに参加させたいコンピュータの Windows 2000 で使用するコンピュータ名を入力する※ [コンピュータ名 (Windows 2000以前)]ボックスにも既定で同じ名前が入力される
4. [ユーザーまたはグループ]ボックスの右の[変更]ボタンをクリックする
5. [ユーザーまたはグループの選択]ダイアログでこのコンピュータをドメインへ追加させることのできるユーザーまたはグループを選択し、[OK]ボタンをクリックする
6. Windows NT 4.0 およびそれ以前のオペレーティングシステムにこのコンピュータ名のオブジェクトを使用させたい場合は、[Windows 2000 以前のコンピュータに、このアカウントの使用を許可](Windows 2000 Server の場合)または[このコンピュータアカウントを Windows 2000 以前のコンピュータとして割り当てる](Windows Server 2003 の場合)のチェックボックスをクリックする
7. [OK]ボタンをクリックする
○ 対処方法(方法 2)
1. [スタート]→[プログラム](または[すべてのプログラム])→[管理ツール]→[Active Directory ユーザーとコンピュータ]コンソールを開く
2. [表示]メニューから[拡張機能]が有効になっていない場合、有効にする
3. [Computers]コンテナを右クリックし、[プロパティ]を選択する
4. [セキュリティ]タブを開き、[詳細]ボタン(Windows 2000 Server の場合)または[詳細設定]ボタン(Windows Server 2003の場合)をクリックする
5. [アクセス許可]タブのアクセス許可エントリの中から「Authenticated User」を選択し、[表示/編集]ボタン(Windows 2000 Server の場合)または[編集]ボタン(Windows Server 2003 の場合)をクリックする
6. アクセス許可エントリ設定画面の[適用先]ダイアログボックスから[このオブジェクトとすべての子オブジェクト]を選択する
7. [コンピュータオブジェクトの作成]と[コンピュータオブジェクトの削除]の[許可]を有効にする
8. [OK]ボタンをクリックする
1. [スタート]→[プログラム](または[すべてのプログラム])→[管理ツール]→[Active Directory ユーザーとコンピュータ]コンソールを開く
2. [表示]メニューから[拡張機能]が有効になっていない場合、有効にする
3. [Computers]コンテナを右クリックし、[プロパティ]を選択する
4. [セキュリティ]タブを開き、[詳細]ボタン(Windows 2000 Server の場合)または[詳細設定]ボタン(Windows Server 2003の場合)をクリックする
5. [アクセス許可]タブのアクセス許可エントリの中から「Authenticated User」を選択し、[表示/編集]ボタン(Windows 2000 Server の場合)または[編集]ボタン(Windows Server 2003 の場合)をクリックする
6. アクセス許可エントリ設定画面の[適用先]ダイアログボックスから[このオブジェクトとすべての子オブジェクト]を選択する
7. [コンピュータオブジェクトの作成]と[コンピュータオブジェクトの削除]の[許可]を有効にする
8. [OK]ボタンをクリックする
○ 操作方法(方法 3)
Authenticated Users がドメインへ追加させることのできるコンピュータ数の既定の制限を変更するには、下記のいずれかの方法を使用する。
1 : Microsoft Windows 2000リソースキットに含まれる Ldp ツール(Ldp.exe)を使用する
2 : Active Directory の ms-DS-MachineAccountQuota 属性の値を増減するために、Active Directory Services Interface(ADSI)スクリプトを使用する
Authenticated Users がドメインへ追加させることのできるコンピュータ数の既定の制限を変更するには、下記のいずれかの方法を使用する。
1 : Microsoft Windows 2000リソースキットに含まれる Ldp ツール(Ldp.exe)を使用する
2 : Active Directory の ms-DS-MachineAccountQuota 属性の値を増減するために、Active Directory Services Interface(ADSI)スクリプトを使用する
