本来なら、まずはユーザーアカウントの作成に取り上げるのが筋かも知れないが、Active Directory上のユーザーアカウントを使ってログオンするにはクライアントPCとコンピュータアカウントが必要になるので、そちらの話から始めることにしよう。
クライアントとして利用可能なOS
さまざまなバージョンとエディションがあるWindowsのうち、Active Directoryに参加/ログオンしてフルに機能を発揮できるOSには、以下のものがある。
・Windows 2000 Professional
・Windows XP Professional
・Windows Vista Business
・Windows Vista Enterprise
・Windows Vista Ultimate
また、Active Directoryに参加/ログオンできるが機能制限が生じるOSには、以下のものがある。
・Windows 95
・Windows 98
・Windows 98 Second Edition
・Windows Me
・Windows NT 4.0 Workstation
もっとも、後者のOSはすべて販売/サポートともに収束しているし、グループポリシーによるOSの設定統一を行えないなど、Active Directoryのメリットをほとんど享受できない。だから、いまさら使用する理由はないだろう。今後のことを考えると、Windows XP/Vistaのいずれかにするべきだ。
そして、Windows XP/Vistaが動作するクライアントPCからActive Directoryにログオンするには、「コンピュータアカウントの作成」「Active Directoryへの参加作業」という、二段階の手順が必要になる。
コンピュータアカウントの作成(管理ツール編)
そこで今週は、まずコンピュータアカウントの作成について解説する。最初に取り上げるのは、[Active Directoryユーザーとコンピュータ]管理ツールを使用する方法だ。
Windows Server 2008では[サーバーマネージャ]左側のツリー画面で[役割]-[Active Directoryドメインサービス]-[Active Directoryユーザーとコンピュータ]を展開・選択する方法も利用できるが、本稿ではWindows Server 2003のことも考慮して、[Active Directoryユーザーとコンピュータ]管理ツールという呼称で統一する。
[Active Directoryユーザーとコンピュータ]管理ツールを起動する。
左側のツリー画面で、(ドメイン名)]-[Computersを選択する。
[操作]-[新規作成]-[コンピュータ]、あるいは右クリックして[新規作成]-[コンピュータ]を選択する。画面中央の一覧で右クリックする方法でも同じメニューを利用できる。
- 続いて表示するダイアログで、コンピュータ名を指定する。コンピュータ名には[コンピュータ名]と[コンピュータ名(Windows 2000以前)]の2種類があるが、通常は前者に入力した内容に基づいて後者を自動生成するので、それに従えばよい。
- [OK]をクリックすると、指定した名前でコンピュータアカウントを作成する。
コンピュータアカウントの作成(コマンド編)
続いて、コマンド操作によってコンピュータアカウントを作成する方法について取り上げる。net computerコマンドを使用する方法とdsadd computerコマンドを使用する方法があるが、結果はどちらでも同じだ。
・net computerコマンドを使用する場合
net computer \<コンピュータ名> /ADD
・dsadd computerコマンドを使用する場合
dsadd computer <LDAP識別名>
net computerコマンドの場合、コンピュータアカウントを作成する場所の既定値は「Computers」コンテナになる。一方、dsadd copmuterコマンドではLDAP識別名によって配置場所を自由に指定できる。以下に、実際に使用した例を示す。
・コンピュータアカウント「hermes」を追加
net computer \hermes /add
・ドメイン「ad.company.local」内のコンテナ「Computers」に、コンピュータアカウント「helios」を追加
dsadd computer cn=helios,cn=Computers,dc=ad,dc=company,dc=local
・ドメイン「ad.company.local」内のOU「Tokyo」に、コンピュータアカウント「artemis」を追加
dsadd computer cn=artemis,ou=Tokyo,dc=ad,dc=company,dc=local
コンピュータ名が2種類ある理由
コンピュータ名が2種類あるのは、NTドメインではNetBIOSの制約により、コンピュータ名に最長15バイトという制約が存在したためだ。コンピュータ名を15バイト以内の長さに収めれば両者は一致するので、これがもっとも合理的だ。
[ユーザーまたはグループ]は、当該コンピュータアカウントに対応するクライアントPCをActive Directoryに参加させる操作を、誰が行えるようにするかを決めるために使用する。既定値は「Domain Admins」になっているため、Active Directoryの管理者権限を持つユーザーでなければ参加作業を行えない。
これは、[変更]をクリックすると表示するダイアログで変更できる。たとえば「Domain Users」を指定すると、どのユーザーでも参加作業を行える。当該クライアントPCを使用するユーザーのユーザーアカウントを指定する方法もある。