![[PukiWiki]](image/picc.png "[PukiWiki]")
作ったchaperoneドメインにwindows11を参加させてみる。 エディションは pro版. home版はドメイン参加できないです
ドメイン参加権限の移譲 samba4/接続
参照: https://wiki.samba.org/index.php/Delegating_administrative_permissions_to_non-administrators
事前にwindowsPCが参照するDNSをchaperone.jpが運用するDNSに変更します.
[スタート]->[設定]->[ネットワークとインターネット]を開きます.
その中の[イーサネット]を開き「IP割り当て」の編集ボタンを押下して
IPアドレス、サブネットマスク、ゲートウェイ、優先DNSを定義する。この優先DNSにsamba-adのアドレスを入力します
タスクバーの検索で「cmd」と打ってコマンドプロンプトを立ち上げて、「ipconfig /all」にて設定したipアドレス,DNSが正しいか確認します。
その後に
[スタート]->[設定]->[システム]->[バージョン情報]を開き、「システムの詳細設定」リンクを押下します。
開いた「システムのプロパティ」画面で「コンピュータ名」タブを選択します
その画面にある「コンピュータ名を変更したりドメインに参加したりするには「変更」をクリックしてください」の「変更」を押下します
所属するグループとして「ドメイン」を選びドメイン名にsamba-adのドメイン名「chaperone」と記載して、下部の「ok」ボタンを押下します
表示された「コンピュータ名/ドメイン名の変更」パネルにてユーザにはsamba-adの構築の際に用意されたadministratorを使用します
ユーザ名には「administrator@chaperone」、パスワードにはsamba-adの構築の際に使用したパスワードを入力して「ok」ボタンを押下します
samba-ad側での認証が済むと完了のメッセージが表示されます. okボタンを押下します
あとは再起動すればsamba-adに参加完了です.
windowsPCを参加させるたびごとにsamba-adのadministrator(管理者アカウント)を使うのは微妙である.
参加操作はadministratorsグループもしくはDomainAdminsグループに所属するアカウントなら参加作業ができるが、
強力な権限である. なのである程度抑え、ドメインに参加させる権限に特化させたグループを作る.
RSATでインストールされた「ActiveDirectoryユーザとグループ」を開きます
左枠のツリーを展開して、「Users」を選択、右クリックから[新規作成]->[グループ]を選びます
表示される「新しいオブジェクト - グループ」パネルで、ドメインに参加させる権限を持たせるグループとして「pc-join」と明記します。
グループのスコープは「グローバル」、グループの種類は「セキュリティ」を選択して、「OK」ボタンを押下します
これで新しいグループ「pc-join」が作れました。
このグループ「pc-join」に権限を委譲します。
今度は、同じく左枠のツリーの「Computers」を選択して、その右クリックから「制御の委任」を選びます
表示された「オブジェクト制御の委任ウイザード」で「次へ」を押下します
次の画面で先ほど作成した「pc-join」をこれにいれます。「追加」ボタンを押下して「pc-join」を入れて「次へ」ボタンを押下します
委任するタスクとしては、「委任するカスタムタスクを作成する」を有効にして「次へ」ボタンを押下します
ActiveDirectoryオブジェクトの種類としては、「フォルダ内の次のオブジェクトのみ」を有効にして「コンピューター オブジェクト」を選択、
そして、「選択されたオブジェクトをこのフォルダに作成する」と「選択されたオブジェクトをこのフォルダから削除する」を有効にします。そして「次へ」を押下します
次にアクセス制御ですが、「全般」と「プロパティ固有」を有効にして、[アクセス許可]欄では
「DNSホスト名の属性の読み取りと書き込み」 Read and write DNS host name attributes
「パスワードのリセット」 Reset password
「DNSホスト名への検証された書き込み」 Validated write to DNS host name
「サービスプリンシパル名への検証された書き込み」 Validated write to service principal name
「アカウントの制限の読み取りと書き込み」 Read and write account restrictions
「servicePrincipalNameの書き込み」 Write servicePrincipalName
を有効にして、「次へ」ボタンを押下します
最後に確認の画面が表示されます. [完了]ボタンを押下して設定は完了です
次に定義した[pc-join]グループに一般ユーザを加えて、実際にwindowsPCのsamba-ad参加操作を行いテストします
追加方法は samba/RSATの「ActiveDirectoryユーザとグループ」を開いてGUIで操作されても下記のようにCUIでも出来ます
[root@ad ~]# /opt/samba/bin/samba-tool group addmembers pc-join saber
Added members to group pc-join
[root@ad ~]#追加してプロパティを開くとこんな感じになります
