ユーザーがドメインに参加できるワークステーションの数を増やす - TechRepublic

先週のTR Dojoチャレンジの質問で、TechRepublicのメンバーに、ユーザーがドメインに参加できるマシンの数を増やす方法を尋ねました。この質問は、TechRepublicのメンバーであるAlexandru Pさんからいただいたメールがきっかけでした。Alexandruさんの組織のヘルプデスク技術者は現在、Windowsドメインに追加できるマシンの数に制限があり、これが問題となっています。

Active Directoryのデフォルトでは、Authenticated Usersグループのメンバーは、デフォルトのComputersコンテナに最大10台のコンピュータアカウントを追加できます。ユーザーが10台を超えるワークステーションを追加しようとすると、次のいずれかのエラーメッセージが表示される可能性があります。

「このコンピューターのコンピューター アカウントが存在しないか、使用できません。」

「お使いのコンピュータをドメインに参加させることができませんでした。このドメインで作成できるコンピュータアカウントの最大数を超えています。システム管理者に連絡して、この制限をリセットするか、増やしてもらってください。」

「ドメイン「domain.com 」に参加しようとしたときに次のエラーが発生しました。」

お使いのコンピュータをドメインに参加させることができませんでした。このドメインで作成できるコンピュータアカウントの最大数を超えています。システム管理者に連絡して、この制限をリセットするか、増やしてもらってください。

MSKB 記事 251335 および 314462 によると、この問題を解決するには 3 つの方法があります。

1. ユーザーのコンピュータアカウントを事前に作成する
2. ユーザーに「コンピュータオブジェクトの作成」と「コンピュータオブジェクトの削除」のアクセス制御エントリ（ACE）を付与します。
3. 認証されたユーザーがドメインに参加できるコンピューターの数の既定の制限を上書きする

最初の 2 つの解決策で問題は解決しますが、私たちが最も関心を持っているのは 3 番目の解決策です。これは、ユーザーがドメインに参加できるワークステーションの数のデフォルトの制限を実際に変更するからです。

ADSI Editを使用してms-DS-MachineAccountQuota属性を設定する

ユーザーがドメインに参加できるワークステーションの数は、ms-DS-MachineAccountQuota属性によって設定されます。Active Directoryサービスインターフェイスエディター（ADSIエディター）を使用すると、Active Directoryのオブジェクトと属性を管理できます。

Windows Server 2003 または Windows XP マシンで ADSI エディターを実行するには、Windows Server 2003 サポート ツールをインストールする必要があります。このツールは、Windows Server 2003 CD または Microsoft ダウンロード センターから入手できます。Windows Server 2008 を実行している場合、ADSI エディターは Active Directory ドメイン サービス (AD DS) の役割の一部としてインストールされ、サーバーはドメイン コントローラーになります。ドメイン コントローラーではないサーバーには、リモート サーバー管理ツール (RSAT) をインストールすることもできます。Windows Vista SP1 または Windows 7 を実行しているマシンで ADSI エディターを使用するには、RSAT をインストールする必要があります。

ADSI Edit をインストールしたら、次の手順で ms-DS-MachineAccountQuota 属性を変更できます。

1. [スタート] | [実行] をクリックし、adsiedit.msc と入力します。
2. ドメイン ノードを展開し、「DC=」で始まり、関心のあるドメインのドメイン名が含まれているオブジェクトを見つけます。
3. 「DC=」オブジェクトを右クリックし、「プロパティ」をクリックします。
4. [属性エディター] タブで ms-DS-MachineAccountQuota 属性を見つけて、[編集] をクリックします。
5. 整数属性エディタダイアログで、ユーザーが追加できるワークステーションの数を入力します。ユーザーがドメインにワークステーションを追加できないようにするには「0」を入力し、制限を解除するには値をクリアします。
6. 適切な値を入力したら、[OK] をクリックして [整数属性エディター] ダイアログ ボックスを閉じ、もう一度 [OK] をクリックして [プロパティ] ボックスを閉じます。
7. ADSI エディターを閉じます。

コマンドラインまたは VBScript を使用して ms-DS-MachineAccountQuota 属性を設定する

ms-DS-MachineAccountQuota属性の編集に関するMicrosoftのドキュメントのほとんどは、上記で概説したADSI Editメソッドを使用していますが、コマンドラインやVBScriptを使用することもできます。これらのメソッドの例については、CodeIdol.comの記事「レシピ8.11. ユーザーがドメインに参加できるコンピューターの最大数を変更する」をご覧ください。

そして、TechRepublic の賞品は…

TechRepublicのメンバー数名から、ADSI Editを使ってms-DS-MachineAccountQuota属性を変更するという提案がありましたが、私が質問を投稿してからわずか16分後に最初に回答してくれたrhino777さんに、コーヒーマグとラップトップステッカーを贈呈します。おめでとうございます。

回答を投稿してくださった皆様、ありがとうございます。もしあなたの回答がここに見つからない場合は、今週の質問「TR Dojoチャレンジ：WinSxSフォルダのサイズを安全に縮小するには？」に挑戦してみてください。

以下のいずれかの方法で TR Dojo の最新情報を受け取るように登録することもできます。

• Twitterでビル・デトワイラーをフォローしてください
• TR Dojo RSSフィードを購読する
• カスタマイズ可能なTR Dojoメールアラートに登録する
• モバイルデバイスからTR Dojoにアクセスする