本来なら、まずはユーザーアカウントの作成に取り上げるのが筋かも知れないが、Active Directory上のユーザーアカウントを使ってログオンするにはクライアントPCとコンピュータアカウントが必要になるので、そちらの話から始めることにしよう。

クライアントとして利用可能なOS

さまざまなバージョンとエディションがあるWindowsのうち、Active Directoryに参加/ログオンしてフルに機能を発揮できるOSには、以下のものがある。

・Windows 2000 Professional
・Windows XP Professional
・Windows Vista Business
・Windows Vista Enterprise
・Windows Vista Ultimate

また、Active Directoryに参加/ログオンできるが機能制限が生じるOSには、以下のものがある。

・Windows 95
・Windows 98
・Windows 98 Second Edition
・Windows Me
・Windows NT 4.0 Workstation

もっとも、後者のOSはすべて販売/サポートともに収束しているし、グループポリシーによるOSの設定統一を行えないなど、Active Directoryのメリットをほとんど享受できない。だから、いまさら使用する理由はないだろう。今後のことを考えると、Windows XP/Vistaのいずれかにするべきだ。

そして、Windows XP/Vistaが動作するクライアントPCからActive Directoryにログオンするには、「コンピュータアカウントの作成」「Active Directoryへの参加作業」という、二段階の手順が必要になる。

コンピュータアカウントの作成(管理ツール編)

そこで今週は、まずコンピュータアカウントの作成について解説する。最初に取り上げるのは、[Active Directoryユーザーとコンピュータ]管理ツールを使用する方法だ。

Windows Server 2008では[サーバーマネージャ]左側のツリー画面で[役割]-[Active Directoryドメインサービス]-[Active Directoryユーザーとコンピュータ]を展開・選択する方法も利用できるが、本稿ではWindows Server 2003のことも考慮して、[Active Directoryユーザーとコンピュータ]管理ツールという呼称で統一する。

1. [Active Directoryユーザーとコンピュータ]管理ツールを起動する。

2. 左側のツリー画面で、[(ドメイン名)]-[Computers](または、それ以外のOUやコンテナ)を選択する。

3. [操作]-[新規作成]-[コンピュータ]、あるいは右クリックして[新規作成]-[コンピュータ]を選択する。画面中央の一覧で右クリックする方法でも同じメニューを利用できる。

クライアントPCをActive Directoryに参加させるには、コンピュータアカウントの作成が必要

4. 続いて表示するダイアログで、コンピュータ名を指定する。コンピュータ名には[コンピュータ名]と[コンピュータ名(Windows 2000以前)]の2種類があるが、通常は前者に入力した内容に基づいて後者を自動生成するので、それに従えばよい。

コンピュータ名を指定して、コンピュータアカウントを作成する

5. [OK]をクリックすると、指定した名前でコンピュータアカウントを作成する。

コンピュータアカウントの作成(コマンド編)

続いて、コマンド操作によってコンピュータアカウントを作成する方法について取り上げる。net computerコマンドを使用する方法とdsadd computerコマンドを使用する方法があるが、結果はどちらでも同じだ。

・net computerコマンドを使用する場合
net computer \<コンピュータ名> /ADD

・dsadd computerコマンドを使用する場合
dsadd computer <LDAP識別名>

net computerコマンドの場合、コンピュータアカウントを作成する場所の既定値は「Computers」コンテナになる。一方、dsadd copmuterコマンドではLDAP識別名によって配置場所を自由に指定できる。以下に、実際に使用した例を示す。

・コンピュータアカウント「hermes」を追加
net computer \hermes /add

・ドメイン「ad.company.local」内のコンテナ「Computers」に、コンピュータアカウント「helios」を追加
dsadd computer cn=helios,cn=Computers,dc=ad,dc=company,dc=local

・ドメイン「ad.company.local」内のOU「Tokyo」に、コンピュータアカウント「artemis」を追加
dsadd computer cn=artemis,ou=Tokyo,dc=ad,dc=company,dc=local

コンピュータ名が2種類ある理由

コンピュータ名が2種類あるのは、NTドメインではNetBIOSの制約により、コンピュータ名に最長15バイトという制約が存在したためだ。コンピュータ名を15バイト以内の長さに収めれば両者は一致するので、これがもっとも合理的だ。

[ユーザーまたはグループ]は、当該コンピュータアカウントに対応するクライアントPCをActive Directoryに参加させる操作を、誰が行えるようにするかを決めるために使用する。既定値は「Domain Admins」になっているため、Active Directoryの管理者権限を持つユーザーでなければ参加作業を行えない。

これは、[変更]をクリックすると表示するダイアログで変更できる。たとえば「Domain Users」を指定すると、どのユーザーでも参加作業を行える。当該クライアントPCを使用するユーザーのユーザーアカウントを指定する方法もある。

コンピュータをActive Directoryに参加させる権限を誰に与えるかは、コンピュータアカウントごとに指定できる