SAMBA4ADドメインにwindows7マシンを参加させてみる。ある意味、samba4の基本的な使い方になるのかな。
2013y11m09d_000133046.png

windows7のADドメイン参加操作資格者

ADドメイン参加操作をするユーザは、

となる。後者はMS謹製のADだとドメイン ユーザでいいのだがSAMBA4だとどうもその権限では無理みたい...

操作

手続きは[コンピュータ]のプロパティを開いて、[設定の変更]リンクをクリックして、[システムのプロパティ]を開く
2013y10m26d_190439642.png

開いた[システムのプロパティ]画面の[コンピュータ名]タブにある[変更..]ボタンをクリックする
2013y10m26d_190734914.png

新たに[コンピュータ名/ドメイン名の変更]画面が表示される。
所属するグループ欄内のドメインを有効にして、SAMBA4で作成したドメイン名cerius.localを入力して[OK]ボタンをクリック
2013y10m26d_191114082.png

認証画面が表れます。ここにADドメインのadministratorとそのパスワードを入力して、[OK]ボタンをクリックすれば
2013y10m26d_192144929.png
ドメイン参加作業は完了です。お疲れ様でした。
2013y10m26d_192245914.png

制御の委任

ADドメインへの参加認証において、Domein Users所属のユーザで行うと
2013y10m26d_191833369.png
とエラーが発生します。

どうやらadministratorsグループもしくはDomainAdminsグループに所属したユーザで認証を行う必要があるみたい。
っが、セキュリティー的には大きな穴なんだけどね。
グループポリシーとかsamba4のldapデータベースへのACLを修正すればできそうな気がするけど....

解決策がここにあった
https://wiki.samba.org/index.php/Delegating_Administration_Permissions
1.「ActiveDirectoryユーザとコンピュータ(ADUC)」を開いて、新たなグループ「supporters」を作成する
 2014y06m01d_191612434.png

2−1.「Computers」フォルダ(CN=Computers)を右クリックして、「制御の委任...」を選択する
 2014y06m01d_195158889.png

2−2.「オブジェクト制御の委任ウィザード」画面が表示される
 2014y06m01d_192441808.png
 「次へ」ボタンをクリック

2−3.「ユーザまたはグループ」画面で制御を委任されるグループ「supporters」を指定する
 2014y06m01d_192342056.png
 「次へ」ボタンをクリック

2−4.「委任するタスク」画面で「委任するカスタムタスクを作成する」を選択する
 2014y06m01d_193023544.png
 「次へ」ボタンをクリック

2−5.「Active Directoryオブジェクトの種類」画面で「フォルダ内の次のオブジェクトのみ」制御を委任して
 2014y06m01d_193400072.png
 そのフォルダ内は、「コンピューター オブジェクト」のみ選択して、同時に下部の
 「選択されたオブジェクトをこのフォルダに作成する」と「選択されたオブジェクトをこのフォルダから削除する」を有効にする
 2014y06m01d_193540608.png
 「次へ」ボタンをクリック

2−6.「アクセス許可」画面で「全般」と「プロパティ固有」のみアクセス許可を渡して
 2014y06m01d_193923897.png
 アクセス許可リストで、
  「パスワードのリセット」Reset password
  「アカウントの制限の読み取りと書き込み」Read and write account restrictions
  「DNSホスト名の属性の読み取りと書き込み」Read and write DNS host name attributes
  「DNSホスト名への検証された書き込み」Validated write to DNS host name
  「サービスプリンシパル名への検証された書き込み」Validated write to service principal name
  「servicePrincipalNameの書き込み」Write servicePrincipalName
 らを有効にする
 一例:
  2014y06m01d_194406337.png
 「次へ」ボタンをクリック

2−7.「オブジェクト制御の委任ウィザードの完了」画面で作業結果の内容を確認して終了

この新たに作ったグループ「supporters」にADにPCを参加させる操作を行うユーザを加える

委任の確認

「ActiveDirectoryユーザとコンピュータ(ADUC)」を開いて、メニューの「表示」から「拡張機能」を選択する。
2014y06m01d_230351843.png
再描画された「Computers」を選択して、右クリックから「プロパティ」を選択する。
表示された「Computersのプロパティ」から「セキュリティ」タグを選択する。
*「拡張機能」が有効になっていないと、この「セキュリティ」タグが表示されない。
2014y06m01d_231006549.png
ここに表示されているのに「委任」されたものがある。といえる。
具体的な委任の中身は、「詳細設定」ボタンを押して、表示された「Computersのセキュリティの詳細設定」画面で確認できる。
2014y06m01d_231511387.png
特殊な選択が多いので分かりずらいのだが......

特定ユーザでPCをActiveDirecotryに参加させてみる。

作成した「supporters」にユーザsaberさんに入ってもらいました。こんな感じで
2014y06m02d_003040715.png

そして、新規に作成したwindows7マシン「c130」をcerius.localドメインに参加させてみます。
「システムのプロパティ」から「コンピュータ名/ドメイン名の変更」画面で
 所属するグループを「ドメイン」にして、値を「cerius.local」にします。
 2014y06m02d_003258371.png
「OK」ボタンをクリックすると認証が求められます。アカウント名は「saber」、パスワードはそのユーザのパスワードを入力します。
「OK」ボタンをクリックします。
2014y06m02d_003541100.png
暫くすると、
2014y06m02d_003900490.png
と表示され、このPCは「cerius.local」ドメインに参加成功となる。

最新の60件
2026-05-22 2026-05-21 2026-05-20 2026-05-19 2026-05-18 2026-05-13 2026-05-12 2026-05-11 2026-05-08 2026-05-06 2026-05-05 2026-05-03 2026-04-30 2026-04-29 2026-04-28 2026-04-27 2026-04-25 2026-04-24 2026-04-22 2026-04-21 2026-04-12 2026-04-08 2026-04-06 2026-04-05 2026-04-02 2026-03-26 2026-03-23 2026-03-21 2026-03-19 2026-03-15 2026-03-14 2026-03-13 2026-03-07 2026-03-06 2026-03-04 2026-03-02 2026-02-26 2026-02-24

edit

トップ   編集 差分 履歴 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2014-06-02 (月) 00:42:18