ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

Windows Server 2012 R2のActive Directory環境にて、ユーザ権限でドメイン参加は可能

最近知ったのですが、Windows Server 2012で構築したAD環境において、ドメインユーザ(一般権限)でコンピュータをドメインに参加できる事を知りました。(※Windows Server 2008 R2も同様です。)


つまり、ユーザー自身でドメイン再参加ができてしまうのです。


これまで管理者権限でしかドメイン参加などの作業をした事がなかったので、ちょっと驚きでした。


デフォルトでは、「Domain Controllers」OUにリンクされた「Default Domain Controllers Policy」というGPOにの設定にドメインワークステーションを追加」という項目があり、「Authenticated Users」グループが割り当てられています。

 


ちなみに、設定は場所は以下になります。

GPOの設定場所】

「コンピューターの構成」
  ∟「Windowsの設定」
   ∟「セキュリティの設定」
     ∟「ローカルポリシー]
       ∟「ユーザー権利の割り当て」
          ∟ドメインワークステーションを追加」

f:id:merrywhite:20200727042216j:plain



また、ドメインユーザ権限でドメインに参加できるコンピュータの台数が制限されていて、デフォルトでは”10回”です。


以下は、グループポリシーから抜粋。
-----------------------

 

このセキュリティ設定は、ドメインワークステーションを追加できるグループまたはユーザーを決定します。

 

このセキュリティ設定は、ドメイン コントローラーでのみ有効です。既定では、認証済みのすべてのユーザーにこの権利があり、最大 10 個のコンピューター アカウントをドメインに作成できます。

 

ドメインにコンピューター アカウントを追加すると、そのコンピューターは Active Directory ベースのネットワークに参加できます。たとえば、ワークステーションドメインに追加すると、そのワークステーションActive Directory にあるアカウントとグループを認識できるようになります。

 

既定値: Authenticated Users (ドメイン コントローラー)

 

注意: Active Directory コンピューター コンテナーで "コンピューター オブジェクト作成" アクセス許可を持つユーザーは、ドメインにコンピューター アカウントを作成することもできます。

コンテナーでのアクセス許可を持つユーザーは、作成できるコンピューター アカウントの数が 10 個に制限されません。

また、"ドメインワークステーションを追加" を使用して作成したコンピューター アカウントの所有者は Domain Administrators になります。

一方、コンピューター コンテナーでのアクセス許可を使用して作成したコンピューター アカウントの所有者は、コンピューター アカウントの作成者になります。

コンテナーでのアクセス許可を持つユーザーが、"ドメインワークステーションを追加" ユーザー権利も持っている場合、ユーザー権利ではなくコンピューター コンテナーのアクセス許可に基づいてコンピューターが追加されます。

-----------------------


設定は「adsiedit.msc」を使って確認、値を変更する事ができます。

【確認手順】
コマンドプロンプトで「adsiedit.msc」を実行。

②「ADSIエディター」が起動するので、

「既定の名前つけコンテキスト[XXX.domain name]」
  ∟「DC=XXXX.,DC=YYYY」を右クリックし、「プロパティ」をクリック。


③「MachineAccountQuota」の値を確認。
※「0」にすると無効になります。

f:id:merrywhite:20200727042235j:plain



ユーザーにドメイン参加の権限、回数など、制限をかけたい場合は、参考してみてください。