ドメインユーザー管理に伴うトラブル(1)

最終更新日時:2005年06月25日 01時49分27秒
ドメイン管理をおこなう上で、ちょっと必要となって調べた情報なのですが、対応策などを一応書いておきます。 ただし、セキュリティ面などの問題もあり、本当にこの対応をおこなうのが良いかは考えてから対応してください。

トラブル内容

以下のエラーメッセージがおこりドメインにクライアントを参加させる事ができません。
しかし、administratorアカウントでは問題なく参加させる事ができます。

[コンピュータをドメインに参加できませんでした。このドメインに作成できるコンピュータ アカウントの最大数を超えています。システム管理者に問い合わせて制限をリセットするか、または増やしてください。]

コンピュータ名の変更

トラブルが起こった理由

関連サイトとして紹介したドメイン ユーザーがワークステーションまたはサーバーをドメインに参加させられないに記載がある

Windows 2000 では、デフォルトで、「ワークステーションをドメインに追加する」特 権 が Authenticated Users グループに付与されます。この特権が有効になっていると、Authenticated Users は、アクセス制御リスト (ACL) チェックを、事前に定義されている最大値までバイパスすることができます。悪用を避けるために、どの Authenticated Users でも参加可能なマシン アカウントの最大数は、デフォルトで 10 になっています

というように、通常のユーザー権限でドメインに参加させる事ができるクライアント数を10とデフォルトで定められています。トータルで10を超えた際に上記のエラーが表示されます。

対策について

対策については、関連サイトとして紹介しているドメイン ユーザーがワークステーションまたはサーバーをドメインに参加させられないを参照しましょう。

ただ、方法については関連サイトとして紹介した英語版のKBを参照した方が確実なようです。

また、コンピュータアカウントの登録数自体の変更ですが、Domain 名前付けコンテキストの属性に含まれる"ms-DS-MachineAccountQuota" 値の内容を変更することで対応します。

関連サイト

(Admintech.jp のWiki記事より転載)

▲このページのトップへ