none
sysprep して AD に再参加する RRS feed

  • 質問

  • よろしくお願いします。

    Windows Server 2016 で AD を構築してます。

    メンバサーバ(Server 2016) が100台くらいあり、すべてこのADに参加しています。

    今後どんどん増えていきます。

    各サーバはデータは持たないため、Server がソフトウェア的に壊れた場合は修復は試みずマスターから再構築することになりました。

    質問はこの再構築時の AD への参加です。

    sysprep済みのイメージから再構築後(ホスト名は同じで構築)すでに存在するAD のコンピュータアカウントを利用して参加(powershell のAdd-Computer )しますがこれは問題あるでしょうか。"ドメインにワークステーションを追加"の権限は与えています。試したところ参加は成功しました。

    一度 AD からコンピュータアカウントを削除してからADに参加すれば問題ないのですが、ADからコンピュータアカウントを削除する権限をこのサーバに与えたくありません。

    以上お願いします。

    2019年1月31日 15:31

回答

  • チャブーンです。

    この件ですが、ご質問を要約すると、コンピューター名が同じ別のSIDベースで作成されたコンピューターアカウントを、異なるSIDからドメイン参加させて問題ないか、という話しかと思います。

    結論を申し上げると、以前のSIDコンピューターが不要であれば、とくに問題はない認識です。Add-ADComputerを実行するユーザーアカウントが、(該当する)コンピューターアカウントをドメイン参加させたのであれば、他のSIDコンピューターからの要求であってもドメインに参加できます。この時点で、以前のSIDのコンピューターとのパスワードは不一致状態になるので、以前のものは使えなくなります。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年2月2日 9:53
    モデレータ

すべての返信

  • チャブーンです。

    この件ですが、ご質問を要約すると、コンピューター名が同じ別のSIDベースで作成されたコンピューターアカウントを、異なるSIDからドメイン参加させて問題ないか、という話しかと思います。

    結論を申し上げると、以前のSIDコンピューターが不要であれば、とくに問題はない認識です。Add-ADComputerを実行するユーザーアカウントが、(該当する)コンピューターアカウントをドメイン参加させたのであれば、他のSIDコンピューターからの要求であってもドメインに参加できます。この時点で、以前のSIDのコンピューターとのパスワードは不一致状態になるので、以前のものは使えなくなります。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年2月2日 9:53
    モデレータ
  • チャブーン様

    ご回答ありがとございます。意図はご指摘とおりです。とても参考になりました。

    再確認で恐縮ですが、ADからdomain adminsでコンピュータアカウントを削除してから同じPC名で"powershell のAdd-Computer"で参加するのが確実だと思いますが、この"コンピュータアカウントを削除"の処理なしで「同じPC名で異なるSID」で上書き的にADに参加してしまってよいのでしょうか。実機ではできています。

    以前のSIDコンピューターが不要であれば」はその通り完全廃棄なので不要です。

    すいませんがよろしくご回答いただけると幸いです。

    2019年2月2日 17:16
  • チャブーンです。

    ちょっと申し上げにくいのですが、こちらの返答は「念押し」という意図なのでしょうか?私の見解としては、前回の回答で書いたことがすべてです。

    一般にビジネス上で、相手に「念押し」するケースでは「何かあったら問題解決を含め『保証』せよ」という意味を求めることがほとんどですが、コミュニティではそういう対応を行うことはできません。エンジニア個人レベルの情報交換であり、何らかの動作保証を行うことはできません。

    気になる、ということであれば、既存コンピューターアカウントを参加させた「ユーザーアカウント」を使って再参加すれば、問題ないのではないでしょうか。最初に(コンピューターを)参加させたユーザーアカウントは、作成されたコンピューターアカウントに対して必要な権限を(その時点で)すべて持っていますので、属性情報書き換えに関しての問題はありません。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2019年2月3日 9:19
    モデレータ
  • 失礼しました。私の質問の仕方が悪かったため、再確認してしまいました。

    >作成されたコンピューターアカウントに対して必要な権限を(その時点で)すべて持っていますので

    >属性情報書き換えに関しての問題はありません。

    なるほど納得しました。自己責任で参考にさせていただきます。

    2019年2月4日 13:07
  • satou2004さん、こんにちは。
    フォーラムオペレーターのHarukaです。

    フォーラムに投稿くださいましてありがとうございます。
    本件、チャブーン さんより参考になる投稿が寄せられたようでなによりです。

    [回答としてマーク]機能は設定された投稿が後から参照しやすくなりますので、
    同じ問題でお困りの方のためにも参考になった投稿に設定いただけますと幸いです。

    今回は私にて チャブーン さんの投稿に設定させていただきました。

    ご理解の程、どうぞよろしくお願いいたします。


    MSDN/ TechNet Community Support Haruka

    ~参考になった投稿には「回答としてマーク」をご設定ください。なかった場合は「回答としてマークされていない」も設定できます。同じ問題で後から参照した方が、情報を見つけやすくなりますので、
    ご協力くださいますようお願いいたします。また、MSDNサポートに賛辞や苦情がある場合は、MSDNFSF@microsoft.comまでお気軽にお問い合わせください。~
    2019年3月27日 1:32
    モデレータ