!!!ドメインユーザーを管理に伴うトラブル(1)

ドメイン管理をおこなう上で、ちょっと必要となって調べた情報なのですが、対応策などを一応書いておきます。
ただし、セキュリティ面などの問題もあり、本当にこの対応をおこなうのが良いかは考えてから対応してください。

!!トラブル内容

以下のエラーメッセージがおこりドメインにクライアントを参加させる事ができません。
しかし、administratorアカウントでは問題なく参加させる事ができます。

[コンピュータをドメインに参加できませんでした。このドメインに作成できるコンピュータ アカウントの最大数を超えています。システム管理者に問い合わせて制限をリセットするか、または増やしてください。]

{{ref_image 001.PNG}}

!!トラブルが起こった理由

関連サイトとして紹介した[ドメイン ユーザーがワークステーションまたはサーバーをドメインに参加させられない|http://support.microsoft.com/kb/251335/ja]に記載がある

Windows 2000 では、デフォルトで、「ワークステーションをドメインに追加する」特 権 が Authenticated Users グループに付与されます。この特権が有効になっていると、Authenticated Users は、アクセス制御リスト (ACL) チェックを、事前に定義されている最大値までバイパスすることができます。悪用を避けるために、どの Authenticated Users でも参加可能なマシン アカウントの最大数は、デフォルトで 10 になっています

というように、通常のユーザー権限でドメインに参加させる事ができるクライアント数を10とデフォルトで定められています。トータルで10を超えた際に上記のエラーが表示されます。

!!対策について

対策については、関連サイトとして紹介している[ドメイン ユーザーがワークステーションまたはサーバーをドメインに参加させられない|http://support.microsoft.com/kb/251335/ja]を参照しましょう。

ただ、方法については関連サイトとして紹介した英語版のKBを参照した方が確実なようです。

また、コンピュータアカウントの登録数自体の変更ですが、Domain 名前付けコンテキストの属性に含まれる"ms-DS-MachineAccountQuota" 値の内容を変更することで対応します。

!!関連サイト

*[ドメイン ユーザーがワークステーションまたはサーバーをドメインに参加させられない|http://support.microsoft.com/kb/251335/ja]
*[Domain Users Cannot Join Workstation or Server to a Domain|http://support.microsoft.com/kb/251335/EN-US/]



!!!書いた人
たーきょん＠管理人
この内容の協力者はやまにょん、ちゃぶーんさんの2人です。