Product Documentation

ドメインコンピューターアカウントの管理

Jul 06, 2016
ここでドキュメント化されたタスクは、製品の機能を最大限に活用するため、Active DirectoryではなくProvisioning Serverを使用して実行する必要があります。

クロスフォレスト運用のサポート

クロスフォレスト運用をサポートするには
  • DNSが正しくセットアップされていることを確認します (フォレストの信頼のためにDNSを準備する方法については、Microsoft社のWebサイトを参照してください)。
  • 両方のフォレストのフォレスト機能レベルが同じWindows Serverのバージョンであることを確認してください。
  • フォレストの信頼を作成します。 Provisioning Servicesで、およびProvisioning Servicesのあるドメインのユーザーが外部フォレストからドメインにアカウントを作成するには、外部フォレストからProvisioning Servicesのあるフォレストへの入力方向の信頼を作成します。

親子関係のドメインの運用

クロスドメイン構成では、Provisioning Servicesサーバーが親ドメインにあり、子ドメインに属するユーザーが、自身のドメインからProvisioning Servicesサーバーを管理したりActive Directoryアカウントを管理したりしたい、という場合がよくあります。

この構成を実装するには
  1. 子ドメインでセキュリティグループを作成します (ユニバーサル、グローバル、またはローカルのドメイングループにできます)。 子ドメインのユーザーをこのグループのメンバーにします。

  2. 親ドメイン内のProvisioning Servicesコンソールで、子ドメインのセキュリティグループをProvisioning Servicesの管理者に設定します。

  3. 子ドメインのユーザーにActive Directory特権がない場合は、Microsoft管理コンソールスナップインの[Active Directoryユーザーとコンピューター]の委任ウィザードを使用して、指定したOUに対してユーザーのコンピューターアカウント権限を割り当て、作成、および削除します。
  4. 子ドメインにProvisioning Servicesコンソールをインストールします。 構成は不要です。 子ドメインのユーザーとしてProvisioning Servicesサーバーにログオンします。

クロスフォレスト構成

この構成はクロスドメイン構成と似ていますが、Provisioning Servicesコンソール、ユーザー、およびProvisioning Services管理者グループが別のフォレスト内のドメインにある点が異なります。 手順は親子関係のドメインの場合と同じですが、最初にフォレストの信頼を確立する必要がある点が異なります。

注:Microsoftは、デフォルトのコンピューターコンテナーに権限を委任しないことを推奨しています。 新しいアカウントは、組織単位に作成してください。

ほかのドメインのユーザーへのProvisioning Services管理者特権の付与

以下の手順をお勧めします。

  1. Provisioning Servicesのあるドメインではなくユーザーの属するドメインのユニバーサルグループに、ユーザーを追加します。
  2. Provisioning Servicesのあるドメインのローカルドメイングループに、ユニバーサルグループを追加します。
  3. ローカルドメイングループをProvisioning Servicesの管理者のグループに設定します。

ドメインへのターゲットデバイスの追加

ターゲットデバイスをドメインに追加するには
注:vDiskイメージ用のコンピューター名は、環境内で決して再使用しないでください。
  1. コンソールウィンドウで、1つまたは複数のターゲットデバイス、またはドメインにすべてのターゲットデバイスを追加するデバイスコレクションを右クリックします。 [Active Directory][コンピューターアカウントの作成]の順に選択します。 [Active Directoryの管理]ダイアログボックスが開きます。
  2. [ドメイン]ボックスの一覧からターゲットデバイスを追加するドメインを選択します。または、[ドメインコントローラー]ボックスにターゲットデバイスを追加するドメインコントローラーの名前を入力します。このボックスを空白のままにすると、最初に見つかったドメインコントローラーが使用されます。
  3. [組織単位]ボックスの一覧で、ターゲットデバイスを追加する組織単位を選択または入力します。構文は「親/子」であり、単位はコンマで区切ります。ネストする場合は親を先に指定します。
  4. [デバイスの追加]をクリックして、選択したターゲットデバイスをドメインおよびドメインコントローラーに追加します。 各ターゲットデバイスが正常に追加されたかどうかを示す状態メッセージが表示されます。 [閉じる]をクリックしてダイアログボックスを閉じます。

ドメインからのターゲットデバイスの削除

  1. コンソールウィンドウで、1つまたは複数のターゲットデバイス、またはドメインにすべてのターゲットデバイスを追加するデバイスコレクションを右クリックします。 [Active Directoryの管理][コンピューターアカウントの削除]の順に選択します。 [Active Directoryの管理]ダイアログボックスが開きます。
  2. [ターゲットデバイス]ボックスでドメインから削除するターゲットデバイスを強調表示して、[デバイスの削除]をクリックします。 [閉じる]をクリックしてダイアログボックスを閉じます。

コンピューターアカウントのリセット

注:Active Directoryマシンアカウントは、ターゲットデバイスが非アクティブの場合にのみリセットできます。
Active Directoryドメインのターゲットデバイスのコンピューターアカウントをリセットするには
  1. コンソールウィンドウで、1つまたは複数のターゲットデバイス、またはドメインにすべてのターゲットデバイスを追加するデバイスコレクションを右クリックし、[Active Directoryの管理][コンピューターアカウントのリセット]の順に選択します。 [Active Directoryの管理]ダイアログボックスが開きます。
  2. [ターゲットデバイス]ボックスでリセットするターゲットデバイスを強調表示して、[デバイスのリセット]をクリックします。
    注:このターゲットデバイスは、最初のターゲットデバイスを準備するときにドメインに追加済みである必要があります。
  3. [閉じる]をクリックしてダイアログボックスを閉じます。
  4. Windows Active Directoryのパスワードの自動的な再ネゴシエーションを無効にします。 これを行うには、ドメインコントローラーでグループポリシー 「ドメインメンバー:コンピューターアカウントパスワード:定期的な変更を無効にする」.
    注:このセキュリティポリシーの変更を行うには、Active Directoryにコンピューターアカウントを追加したり変更したりできる、十分な特権を持つアカウントでログオンする必要があります。 コンピューターアカウントパスワードの変更は、ドメインまたはローカルコンピューターの単位で無効にできます。 ドメイン単位でコンピューターアカウントパスワードの変更を無効にすると、ドメインのすべてのメンバーにこの変更が適用されます。 ローカルコンピューターの単位で(プライベートイメージモードのvDiskに接続しているターゲットデバイス上のローカルセキュリティポリシーを変更することによって)コンピューターアカウントパスワードの変更を無効にすると、そのvDiskを使用しているターゲットデバイスにのみこの変更が適用されます。
  5. 各ターゲットデバイスを起動します。