ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

AD このドメインに作成できるコンピュータアカウントの最大数を超えています 10台制限

Windowsで一般ユーザーでも実はコンピューターをドメインに参加をさせることができます。管理者権限だけができると以前は思っていたのですが、普通に考えると一般ユーザーにドメインの参加をさせることはあんまりないかもしれませんが、中にはそういった運用をしている企業もあるかもしれません。

 

以前、なぜかよくセキュリティチャネルの破損なのかが原因でドメインへの認証ができなくなることがあって、ユーザーにドメインの再参加をさせているというのを聞いたことがありますが、ただ、一般ユーザーの場合、参加させることができる数は制限されています。

 

そして、その制限に達した場合、「このドメインに作成できるコンピュータアカウントの最大数を超えています」というようなメッセージが表示されます。

 

これについては以下のサイトに詳しく説明があります。

Active Directoryドメインに一般ユーザーの権限でコンピュータを10台以上参加させたい | 日経クロステック(xTECH) 

 

Active Directoryドメイン環境で,コンピュータをドメインに参加させるには,最低でも以下の権限を持つユーザーでマシンを操作する必要があります。

・参加させるコンピュータ側
 ローカル管理者権限およびドメインのオブジェクトを読み込むための権限
・参加させたいドメイン
 「ワークステーションドメインに追加する」権限,またはComputersコンテナへの「コンピュータ・オブジェクトの作成」権限

 今回の問題はこのうち「ワークステーションドメインに追加する」権限に,ドメインの一般ユーザーに対してはデフォルトで最大10台の制限があるために発生します。Active Directoryの属性にこの設定があります。コンピュータの台数は,コンピュータごとに一意に割り振るSID(セキュリティ識別子)で数えます。ディスク複製などで構築した同一SIDのコンピュータを参加させる場合,この現象は発生しません。

 

回避策としては、ドメイン管理者が事前にコンピュータ・アカウントを作成して,それをドメインの参加に際して利用してもらう方法に切り替えるのが適切とあります。

 

その他、リソースキットに含まれる「ldp.exe」や,サポート・ツールの「adsiedit.msc」などを使って,ms-DS-MachineAccountQuota属性の値を修正ことで対応可能とありますが、書かれている通り、セキュリティ的に好ましくないでしょう。

 

サンワダイレクト ビジネスバッグ 手提げ ショルダー 通勤 対応 15.6型PCパソコン A4 対応 200-BAG067