プロビジョニングパッケージでドメイン参加する
今回はプロビジョニングパッケージ展開でPCをActive Directoryドメインに自動的に参加する方法を解説します。
ADでドメイン参加用ユーザーの作成
まずは事前にドメイン参加権限のあるユーザーをADに作成しておきます。
ここで作成するユーザーはクライアントPCに追加するユーザーではなく”コンピュータをドメインに参加させるためのユーザー”ですのでご注意ください。
※ドメインのAdministratorを使うことでもプロビジョニングパッケージ展開でドメイン参加可能ですが、セキュリティの観点から展開用ユーザーを作ることをおすすめします。
今回の環境ではAccountOPというユーザーを新規作成しました。
新規追加したユーザーには”Account Operators”というBuiltinセキュリティグループを追加します。
このセキュリティグループによってAccountOPというユーザーを利用してコンピュータをドメインに参加させることができるようになります。
構成デザイナーの設定
ドメイン参加設定
ドメイン参加に必要な構成デザイナーの設定は”Runtime Settings>Accounts>ComputerAccount”です。
下記画像のように設定します。
それぞれの設定の意味と注意点は次の通りです。
Account(必須)
ドメイン参加に利用するアカウントを指定します。ここでは先ほど事前準備で作成したAccount Operators権限のあるユーザー(syanaise-soudan\AccountOP)を指定します。
なお、アカウント名にはドメイン名も明記することを忘れないでください。
AccountOU(任意)
新しく登録するコンピュータオブジェクトを配置するOUを指定することができます。
ここで指定する値はOUのdistinguishedName属性を使います。
指定は任意です。無指定の場合はComputers OUに登録されます。
ComputerName(必須)
ドメインに登録するコンピュータ名を指定します。なお、無指定とするとドメイン参加に失敗しますのでご注意ください。
%RAND:x%と指定すると、x桁の範囲で重複しないランダムな番号が割り当てられます。x=1であれば0~9の範囲で、x=2であれば00~99の範囲で、x=3であれば000~999の範囲で・・・という形で割り振られます。
%SERIAL%と指定すると、63桁の範囲内でクライアントPC固有の番号が割り振られます。かなりながーいコンピュータ名になってしまいますので、あまりおススメはできません。
DomainName(必須)
参加するドメインのドメイン名を指定します。
Password(必須)
ドメイン参加に利用するアカウント(ここではAccountOP)のパスワードを指定します。入力時にパスワードは黒丸表示にならないのでショルダーハッキングにはご注意ください。
ローカルユーザ設定
すでにローカルユーザが設定済みであれば不要ですが、箱から出したばかりの初回起動時にPPKG適用する場合はローカルユーザも設定しておくことをおススメします。
ローカルユーザーの設定は”Accounts>Users”です。UserNameを指定してAddボタンをクリックします。
新しく”Accounts>Users>UserName”オプションが設定できるようになりますので、PasswordとUserGroupを指定します。
最初のローカルユーザーであればUserGroupはAdministratorsをおススメします。
実際に適用してみる
今回はローカルユーザは既に作成済みの状態から、AD参加するだけのPPKGを適用してみます。PPKGの名前はJoinADとしました。
ダブルクリックして管理者実行を許可すると下記画像のように処理内容が表示されます。そのまま”はい、追加する”をクリックして進めます。
再起動が必要となる処理のため、下記画像のように表示されて1分後に再起動が実行されます。
再起動後、バージョン情報からPC名の設定とドメイン参加したことを確認します。
また、ADにコンピュータが登録されていることを確認します。AccountOUを指定していた場合は、そのOUにコンピュータが登録されます。
ここではComputerNameに”PC-%RAND:3%”と指定しましたので数値3桁の754が登録されました。
まとめ
- 構成デザイナーでAD参加設定するにはComputerAccountを設定する
- %RAND:x%で重複しないランダムな数値をPC名に指定することが可能
- ローカルユーザが無い状態からPPKG適用するならUsersも指定した方がいい