こんにちは。だりと申します。
以下の質問について教えていただけませんでしょうか。
【経緯】
コンピュータをドメイン参加させたいが、一般ユーザには勝手に参加させたくない。
しかしお客さんの都合上、あらかじめコンピュータアカウントを登録しておくことができない。
登録させるユーザは拠点管理者(Domain Adminsではない)を想定しています。
【質問】
ドメイン参加するのに、一定以上の権限を必要とするような設定を教えてください。
【環境】
ドメイン機能レベル:Windows 2008 R2
クライアント:windows7のみ
ドメイン参加時にデフォルトで格納されるコンテナを「Computers」から、「初期設定」というOUに変更しています。
【やってみたこと】
Default Domain Policyで「ドメインにワークステーションを追加する」に「拠点管理者Gr」を指定
⇒Domain Users権限のみのユーザで参加できてしまいました。
ADSIエディタで、ドメインのプロパティから「ms-DS-MachineAccountQuota」を0に指定
⇒誰も参加させられなくなりました。
よろしくお願いします
