お世話になっております。
AD管理下のコンピュータをドメインから離脱した際、 ADのコンピュータオブジェクトに離脱したコンピュータが無効マークついたままで残っているのですが、 これは手動で削除しないと残ったままなのでしょうか?
また通常の運用として、無効のまま残しておいて特に困ることはないのでしょうか? それとも再参加した際に残しておいたほうがメリットがあるのでしょうか??
よろしくお願いいたします。
チャブーンです。
1台1台に入ってわざわざ離脱作業をしなくてをしなくても、対象端末をADのコンピュータオブジェクトから無効化するだけで離脱作業を行ったのと同じ意味になるでしょうか?
ドメインコントローラー側でいえば、ほぼ同じといえるかもしれません。userAccountControl属性が変更になります。ですが、クライアント側では「ドメインアカウントでの資格情報のキャッシュログオン」をできなくする機能があります。
なので、引き続き同じクライアントを使いたい、という場合は、ドメイン離脱(ワークグループへの参加)を行ったほうがいいように思います。
フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。
この件ですが、端的にお答えすると
ドメイン非参加に変更した場合、オブジェクトは削除されません。手動で削除しない限りそのままです。
また、削除されないコンピューターオブジェクトは無効化されている限り、そのままで問題ありません。NTFSアクセス許可やGPOのセキュリティフィルターにオブジェクトを設定している場合や、最初の参加時と同じユーザーにしかドメイン参加させたくない、という場合は残しておいたほうがいいでしょう。
ありがとうございます。
ドメインからの離脱=コンピュータオブジェクトの無効化 と理解しました。
そうしますと、不要になった端末を廃棄処理する際にドメイン離脱作業を行っているのですが、 1台1台に入ってわざわざ離脱作業をしなくてをしなくても、対象端末をADのコンピュータオブジェクトから無効化するだけで離脱作業を行ったのと同じ意味になるでしょうか?
