none
ドメイン参加時に「Computers」コンテナにコンピュータを登録させない方法について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    いつもお世話になっております。

    <ドメイン環境>

    •ドメイン : Win2008R2
    •クライアント : Win7 以上
    •サーバー : Win2003 以上

    運用ルール上、コンピュータをドメイン参加させる場合は、ドメイン管理者に参加させるコンピュータ名を申告し、管理者側で所定のOUにオブジェクトを作成した後にドメイン参加する事になっております。

    ところが、ルールを守らないユーザーがドメイン管理者に申告しないまま、ドメイン参加してしまうケースが多々あり、「Computers」コンテナにオブジェクトが勝手に作成されてしまい、重要なGPOが適用されない状態になってしまいます。

    そこで、以下の要件を実現する方法がありましたら、ご教示いただけると助かります。

    1.ドメイン管理者が事前にオブジェクトを作成しない状態で、ドメイン参加した場合でも「Computers」コンテナに作成されないようにする
    2.事前にオブジェクトが作成されていない場合、ドメイン参加自体を失敗させる

    ドメイン参加行為を行うユーザーは、不特定多数いる環境ですが、必要なユーザーは特定のセキュリティグループに所属させ、オブジェクトが格納されるOUに対し、下記のとおり、特殊なアクセス権を設定しております。

     ※Domain Admins や Account Operators 等のビルトイングループには属してません。

    •パスワードのリセット : 許可
    •DNSホスト名への検証された書き込み : 許可
    •サービスプリンシパル名への検証された書き込み : 許可
    •アカウントの制限の読み取り : 許可
    •アカウントの制限の書き込み : 許可

    以上、よろしくお願いします。

    2014年4月2日 7:07
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    昔のWindowsドメイン(Windows NT)では、ドメイン管理者以外ドメイン参加はできないようになっていました。要はこれと同じ動作をさせればいいでしょう。

    そのためにはグループポリシー「ドメインにワークステーションを追加」にAuthenticated Usersの代わりにAdministratorsを設定します。「Default Domain Controllers Policy」に設定する必要があります。ポリシーの説明については、したのページをご覧ください。

    http://technet.microsoft.com/ja-jp/library/cc740217(v=ws.10).aspx

    なお、うえの設定を行った場合も、「ユーザ権限での書き込み権限等とが設定されたコンピュータアカウントオブジェクト」が作成済みであれば、対象ユーザはこのオブジェクトを対象にドメイン参加を行いますので、とくに問題はないはずです。


    2014年4月2日 19:13
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    前回の回答は「デフォルト環境」を前提に(Authenticated Usersのみが設定されています)お答えしました。

    この回答の要諦は、該当ポリシーに「Administrators」だけを入れ、ほかのグループやユーザは入れないということです。こうすることで、ドメインコントローラのAdministrators(事実上のDomain Admins)以外のユーザはドメイン参加もできませんし、オブジェクトが勝手に作られることもありません。

    そして、別のOU上で「SecurityGroupA」で書き込みができるコンピュータオブジェクトを用意されているとのことですので、対象のコンピュータ名+SecurityGroupA権限でドメイン参加を要求してきた場合、このオブジェクトに対してドメイン参加処理を行ってくれます。

    結果として、ご要望どおりの動作になるはずですよ。


    2014年4月3日 11:27
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん、いつもお世話になっております。

    なるほど、、では検証環境で確認する事したいと思います。

    しかしながら、以前もこのフォーラムで、フォレスト(ドメイン)全体のIPを一気に変更し引っ越しする件でお世話になっておりますが、実はIPがそろっておらず、テスト環境の準備が整っておりません。

    来週にでも作業が出来そうな感じなので、テストドメイン環境で一度試してみて問題なければ本番環境のGPOを修正してみたいと思います。

    すみませんが、本件についても後ほど結果報告させていただきます。

    ありがとうございました。

    • 回答としてマーク kabek 2014年5月29日 10:25
    2014年4月4日 0:14
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    昔のWindowsドメイン(Windows NT)では、ドメイン管理者以外ドメイン参加はできないようになっていました。要はこれと同じ動作をさせればいいでしょう。

    そのためにはグループポリシー「ドメインにワークステーションを追加」にAuthenticated Usersの代わりにAdministratorsを設定します。「Default Domain Controllers Policy」に設定する必要があります。ポリシーの説明については、したのページをご覧ください。

    http://technet.microsoft.com/ja-jp/library/cc740217(v=ws.10).aspx

    なお、うえの設定を行った場合も、「ユーザ権限での書き込み権限等とが設定されたコンピュータアカウントオブジェクト」が作成済みであれば、対象ユーザはこのオブジェクトを対象にドメイン参加を行いますので、とくに問題はないはずです。


    2014年4月2日 19:13
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    いつもお世話になっております。

    「Default Domain Controllers Policy」の”ドメインにワークステーションを追加”ですが、現状を確認してみると以下のグループのみ設定されておりました。

    • <domain>\Domain Admins
    • <domain>\SecurityGroupA(仮名)

    ドメイン構築時(このポリシーを構成)した際には担当者ではなかったため、デフォルトの設定から変更されいるのかもしれません。

    「Authenticated Users」は設定されていませんでした。

    上記2つめのセキュリティグループはドメイン参加を許可するユーザー(ドメインではDomain Users権限のみ)を格納しており、先に説明させていただきました、コンピュータ格納用OUに対し権限を付与しています。

    ただ、これだと、Domain Admins、SecurityGroupA に所属するユーザーはドメイン参加する事が許可されますが、事前にコンピュータオブジェクトを作成しておかないと、相変わらず「Computers」コンテナに勝手に作成されてしまうように思えますが、いかがでしょうか。

    いただいた回答に対し、解釈が誤っていたら申し訳ありません。

    以上、よろしくお願いします。

    2014年4月3日 10:29
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    前回の回答は「デフォルト環境」を前提に(Authenticated Usersのみが設定されています)お答えしました。

    この回答の要諦は、該当ポリシーに「Administrators」だけを入れ、ほかのグループやユーザは入れないということです。こうすることで、ドメインコントローラのAdministrators(事実上のDomain Admins)以外のユーザはドメイン参加もできませんし、オブジェクトが勝手に作られることもありません。

    そして、別のOU上で「SecurityGroupA」で書き込みができるコンピュータオブジェクトを用意されているとのことですので、対象のコンピュータ名+SecurityGroupA権限でドメイン参加を要求してきた場合、このオブジェクトに対してドメイン参加処理を行ってくれます。

    結果として、ご要望どおりの動作になるはずですよ。


    2014年4月3日 11:27
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん、いつもお世話になっております。

    なるほど、、では検証環境で確認する事したいと思います。

    しかしながら、以前もこのフォーラムで、フォレスト(ドメイン)全体のIPを一気に変更し引っ越しする件でお世話になっておりますが、実はIPがそろっておらず、テスト環境の準備が整っておりません。

    来週にでも作業が出来そうな感じなので、テストドメイン環境で一度試してみて問題なければ本番環境のGPOを修正してみたいと思います。

    すみませんが、本件についても後ほど結果報告させていただきます。

    ありがとうございました。

    • 回答としてマーク kabek 2014年5月29日 10:25
    2014年4月4日 0:14
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん、おせわになっております。

    返信が遅くなりまして、大変申し訳ありませんでした。

    多忙により、なかなかテストに着手できない状況でしたが、ようやくアドバイスいただきました手順の検証が行えました。

    結果から申し上げますと、アドバイスいただいた設定で、目的としていた動作が働くことが確認できました。

    1. Default Domain Controllers Policy の「ドメインにワークステーションを追加」に”Domain Admins”のみに権限を付与
    2. コンピュータを配置するOUに対し、ドメイン参加を許可されたユーザーを含むセキュリティグループにドメイン参加するための権限を委任

    これにより、前もってコンピュータオブジェクトを作成しておかない状態で、ドメイン参加を許可したユーザー(上記グループメンバー)で参加させようとしても、「アクセス拒否」となり、Conputersコンテナには作成されないようになりました。

    当然ながら、事前にコンピュータオブジェクトを所定のOUに作成しておけば、参加できることも確認済みです。

    検証ドメインでの検証結果になりますが、本場環境も同様の設定を行ってみます。

    大変参考になりました。ありがとうざいます。

    2014年5月29日 10:25
    |