作ったchaperoneドメインにwindows11を参加させてみる。 エディションは pro版. home版はドメイン参加できないです
2022y05m02d_091913328.png

ドメイン参加権限の移譲 samba4/接続
参照: https://wiki.samba.org/index.php/Delegating_administrative_permissions_to_non-administrators

samba-ad参加手順(windows11)

事前にwindowsPCが参照するDNSをchaperone.jpが運用するDNSに変更します.
[スタート]->[設定]->[ネットワークとインターネット]を開きます.
その中の[イーサネット]を開き「IP割り当て」の編集ボタンを押下して
IPアドレス、サブネットマスク、ゲートウェイ、優先DNSを定義する。この優先DNSにsamba-adのアドレスを入力します

タスクバーの検索で「cmd」と打ってコマンドプロンプトを立ち上げて、「ipconfig /all」にて設定したipアドレス,DNSが正しいか確認します。

その後に
[スタート]->[設定]->[システム]->[バージョン情報]を開き、「システムの詳細設定」リンクを押下します。
2024y09m30d_011542352.png

開いた「システムのプロパティ」画面で「コンピュータ名」タブを選択します
2024y09m30d_011623455.png

その画面にある「コンピュータ名を変更したりドメインに参加したりするには「変更」をクリックしてください」の「変更」を押下します
2024y09m30d_011847791.png

所属するグループとして「ドメイン」を選びドメイン名にsamba-adのドメイン名「chaperone」と記載して、下部の「ok」ボタンを押下します
2024y09m30d_011957567.png

表示された「コンピュータ名/ドメイン名の変更」パネルにてユーザにはsamba-adの構築の際に用意されたadministratorを使用します
ユーザ名には「administrator@chaperone」、パスワードにはsamba-adの構築の際に使用したパスワードを入力して「ok」ボタンを押下します
2024y09m30d_012150910.png

samba-ad側での認証が済むと完了のメッセージが表示されます. okボタンを押下します
2024y09m30d_012225638.png

あとは再起動すればsamba-adに参加完了です.

samba-ad参加作業向けグループを用意する

windowsPCを参加させるたびごとにsamba-adのadministrator(管理者アカウント)を使うのは微妙である.

参加操作はadministratorsグループもしくはDomainAdminsグループに所属するアカウントなら参加作業ができるが、
強力な権限である. なのである程度抑え、ドメインに参加させる権限に特化させたグループを作る.

RSATでインストールされた「ActiveDirectoryユーザとグループ」を開きます
2024y09m30d_231049275.png
左枠のツリーを展開して、「Users」を選択、右クリックから[新規作成]->[グループ]を選びます
2024y09m30d_231329290.png
表示される「新しいオブジェクト - グループ」パネルで、ドメインに参加させる権限を持たせるグループとして「pc-join」と明記します。
グループのスコープは「グローバル」、グループの種類は「セキュリティ」を選択して、「OK」ボタンを押下します
2024y09m30d_231644603.png
これで新しいグループ「pc-join」が作れました。
2024y09m30d_232544200.png

このグループ「pc-join」に権限を委譲します。
今度は、同じく左枠のツリーの「Computers」を選択して、その右クリックから「制御の委任」を選びます
2024y09m30d_232837775.png

表示された「オブジェクト制御の委任ウイザード」で「次へ」を押下します
2024y09m30d_233033040.png

次の画面で先ほど作成した「pc-join」をこれにいれます。「追加」ボタンを押下して「pc-join」を入れて「次へ」ボタンを押下します
2024y09m30d_233258598.png

委任するタスクとしては、「委任するカスタムタスクを作成する」を有効にして「次へ」ボタンを押下します
2024y09m30d_233450726.png

ActiveDirectoryオブジェクトの種類としては、「フォルダ内の次のオブジェクトのみ」を有効にして「コンピューター オブジェクト」を選択、
そして、「選択されたオブジェクトをこのフォルダに作成する」と「選択されたオブジェクトをこのフォルダから削除する」を有効にします。そして「次へ」を押下します
2024y09m30d_233730462.png

次にアクセス制御ですが、「全般」と「プロパティ固有」を有効にして、[アクセス許可]欄では
 「DNSホスト名の属性の読み取りと書き込み」 Read and write DNS host name attributes
 「パスワードのリセット」 Reset password
 「DNSホスト名への検証された書き込み」 Validated write to DNS host name
 「サービスプリンシパル名への検証された書き込み」 Validated write to service principal name
 「アカウントの制限の読み取りと書き込み」 Read and write account restrictions
 「servicePrincipalNameの書き込み」 Write servicePrincipalName
を有効にして、「次へ」ボタンを押下します
2024y09m30d_234458708.png

最後に確認の画面が表示されます. [完了]ボタンを押下して設定は完了です
2024y09m30d_235219323.png

次に定義した[pc-join]グループに一般ユーザを加えて、実際にwindowsPCのsamba-ad参加操作を行いテストします

追加方法は samba/RSATの「ActiveDirectoryユーザとグループ」を開いてGUIで操作されても下記のようにCUIでも出来ます

[root@ad ~]# /opt/samba/bin/samba-tool group addmembers pc-join saber
Added members to group pc-join
[root@ad ~]#

追加してプロパティを開くとこんな感じになります
2024y09m30d_235823114.png

最新の60件
2025-01-13 2025-01-12 2025-01-08 2024-12-30 2024-12-29 2024-12-24 2024-12-22 2024-12-20 2024-12-17 2024-12-15 2024-12-14 2024-12-12 2024-12-11 2024-12-10 2024-12-09 2024-12-08 2024-12-04 2024-11-28 2024-11-22 2024-11-15 2024-11-14 2024-11-12 2024-11-06 2024-11-05 2024-11-04 2024-11-02 2024-11-01 2024-10-29 2024-10-28 2024-10-27 2024-10-23 2024-10-18 2024-10-17 2024-10-15 2024-10-14 2024-10-13 2024-10-11 2024-10-10 2024-10-09 2024-10-08 2024-10-05 2024-10-04 2024-10-03

edit


トップ   編集 差分 履歴 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2024-10-01 (火) 00:04:03