ドメイン ユーザーがワークステーションまたはサーバーをドメインに参加させられない

文書番号: 251335 - 対象製品
この記事は、以前は次の ID で公開されていました: JP251335
すべて展開する | すべて折りたたむ

目次

現象

Windows NT 4.0 Workstation または Windows NT 4.0 Server を実行しているコンピュータから Windows 2000 ドメインに参加しようとすると、次のエラー メッセージが表示される場合があります。
コンピュータアカウントが存在しないか、または利用できません。
参加させようとしているワークステーションまたはサーバーが、Windows 2000 Professional、Windows XP Professional、Windows 2000 Server のいずれかを実行しているコンピュータである場合は、以下のエラー メッセージが表示されます。
コンピュータをドメインに参加できませんでした。このドメインに作成できるコンピュータ アカウントの最大数を超えています。システム管理者に問い合わせて制限をリセットするか、または増やしてください。
: このエラー メッセージは、既に 10 台のワークステーションをドメインに参加させている場合にのみ発生します。
先頭へ戻る | フィードバック

原因

Windows 2000 では、デフォルトで、「ワークステーションをドメインに追加する」特権が Authenticated Users グループに付与されます。この特権が有効になっていると、Authenticated Users は、アクセス制御リスト (ACL) チェックを、事前に定義されている最大値までバイパスすることができます。悪用を避けるために、どの Authenticated Users でも参加可能なマシン アカウントの最大数は、デフォルトで 10 になっています。
先頭へ戻る | フィードバック

解決方法

この問題を解決するには、次の該当する方法を実行してください。

方法 1: ユーザーのコンピュータ アカウントを事前に作成する

  1. Active Directory ユーザーとコンピュータ スナップインから、アカウントが含まれているコンテナを右クリックします。
  2. [新規作成] をクリックして、[コンピュータ] をクリックします。
  3. [コンピュータ名] ボックスに、ドメインに参加させたい Windows 2000 ベースのコンピュータの名前を入力します。

    このコンピュータの名前が [コンピュータ名 (Windows 2000 以前)] ボックスにも入力されていることを確認します (これは自動的に行われます)。
  4. [変更] をクリックします。このコンピュータをドメインに参加させるユーザーまたはグループを選択して、[OK] をクリックします。
  5. Windows NT 4.0 およびそれ以前のオペレーティング システムによってこのコンピュータ名オブジェクトが使用できるようにするには、[Windows 2000 以前のコンピュータに、このアカウントの使用を許可] チェック ボックスをクリックしてオンにし、[OK] をクリックします。

方法 2: [コンピュータ オブジェクトの作成] および [コンピュータ オブジェクトの削除] アクセス制御エントリ (ACE) をユーザーに付与する

  1. Active Directory ユーザーとコンピュータ スナップインから、[表示] メニューの [拡張機能] をクリックして、[プロパティ] をクリックしたときに [セキュリティ] タブが表示されるようにします。
  2. [コンピュータ] コンテナを右クリックして、[プロパティ] をクリックします。
  3. [セキュリティ] タブの [詳細設定] をクリックします。
  4. [アクセス許可] タブの [Authenticated Users] をクリックして、[表示/編集] をクリックします。

    : Authenticated Users グループがリストにない場合は、[追加] をクリックしてアクセス許可エントリのリストに追加します。
  5. [このオブジェクトとすべての子オブジェクト] オプションが [適用先] ボックスに表示されていることを確認します。
  6. [アクセス許可] ボックスから、[コンピュータ オブジェクトの作成] および [コンピュータ オブジェクトの削除] の各 ACE の隣にある [許可] チェック ボックスをクリックしてオンにし、[OK] をクリックします。

方法 3: Authenticated Users がドメインに参加させることのできるコンピュータ数のデフォルトの制限値を上書きする

以下のいずれかの方法を使用すると、デフォルトの制限値を上書きすることができます。
  • Microsoft Windows 2000 リソース キットに含まれている Ldp (Ldp.exe) ツールを使用します。
  • ADSI (Active Directory Services Interface) スクリプトを使用して Active Directory ms-DS-MachineAccountQuota 属性の値を増加または減少させます。
先頭へ戻る | フィードバック

状況

この現象は仕様によるものです。
先頭へ戻る | フィードバック

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 251335
(http://support.microsoft.com/kb/251335/EN-US/ )
(最終更新日 2001-09-28) をもとに作成したものです。

先頭へ戻る | フィードバック

プロパティ

文書番号: 251335 - 最終更新日: 2004年5月10日 - リビジョン: 4.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows XP Professional Edition
キーワード:?
kbenv kbprb KB251335
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"
先頭へ戻る | フィードバック

フィードバック

 
先頭へ戻る先頭へ戻る