ドメイン ユーザーがワークステーションまたはサーバーをドメインに参加させられない

現象

Windows NT 4.0 Workstation または Windows NT 4.0 Server を実行しているコンピュータから Windows 2000 ドメインに参加しようとすると、次のエラー メッセージが表示される場合があります。
コンピュータアカウントが存在しないか、または利用できません。
参加させようとしているワークステーションまたはサーバーが、Windows 2000 Professional、Windows XP Professional、Windows 2000 Server のいずれかを実行しているコンピュータである場合は、以下のエラー メッセージが表示されます。
コンピュータをドメインに参加できませんでした。このドメインに作成できるコンピュータ アカウントの最大数を超えています。システム管理者に問い合わせて制限をリセットするか、または増やしてください。
: このエラー メッセージは、既に 10 台のワークステーションをドメインに参加させている場合にのみ発生します。

原因

Windows 2000 では、デフォルトで、「ワークステーションをドメインに追加する」特権が Authenticated Users グループに付与されます。この特権が有効になっていると、Authenticated Users は、アクセス制御リスト (ACL) チェックを、事前に定義されている最大値までバイパスすることができます。悪用を避けるために、どの Authenticated Users でも参加可能なマシン アカウントの最大数は、デフォルトで 10 になっています。

解決方法

この問題を解決するには、次の該当する方法を実行してください。

方法 1: ユーザーのコンピュータ アカウントを事前に作成する

  1. Active Directory ユーザーとコンピュータ スナップインから、アカウントが含まれているコンテナを右クリックします。
  2. [新規作成] をクリックして、[コンピュータ] をクリックします。
  3. [コンピュータ名] ボックスに、ドメインに参加させたい Windows 2000 ベースのコンピュータの名前を入力します。


    このコンピュータの名前が [コンピュータ名 (Windows 2000 以前)] ボックスにも入力されていることを確認します (これは自動的に行われます)。
  4. [変更] をクリックします。このコンピュータをドメインに参加させるユーザーまたはグループを選択して、[OK] をクリックします。
  5. Windows NT 4.0 およびそれ以前のオペレーティング システムによってこのコンピュータ名オブジェクトが使用できるようにするには、[Windows 2000 以前のコンピュータに、このアカウントの使用を許可] チェック ボックスをクリックしてオンにし、[OK] をクリックします。

方法 2: [コンピュータ オブジェクトの作成] および [コンピュータ オブジェクトの削除] アクセス制御エントリ (ACE) をユーザーに付与する

  1. Active Directory ユーザーとコンピュータ スナップインから、[表示] メニューの [拡張機能] をクリックして、[プロパティ] をクリックしたときに [セキュリティ] タブが表示されるようにします。
  2. [コンピュータ] コンテナを右クリックして、[プロパティ] をクリックします。
  3. [セキュリティ] タブの [詳細設定] をクリックします。
  4. [アクセス許可] タブの [Authenticated Users] をクリックして、[表示/編集] をクリックします。


    : Authenticated Users グループがリストにない場合は、[追加] をクリックしてアクセス許可エントリのリストに追加します。
  5. [このオブジェクトとすべての子オブジェクト] オプションが [適用先] ボックスに表示されていることを確認します。
  6. [アクセス許可] ボックスから、[コンピュータ オブジェクトの作成] および [コンピュータ オブジェクトの削除] の各 ACE の隣にある [許可] チェック ボックスをクリックしてオンにし、[OK] をクリックします。

方法 3: Authenticated Users がドメインに参加させることのできるコンピュータ数のデフォルトの制限値を上書きする

以下のいずれかの方法を使用すると、デフォルトの制限値を上書きすることができます。
  • Microsoft Windows 2000 リソース キットに含まれている Ldp (Ldp.exe) ツールを使用します。
  • ADSI (Active Directory Services Interface) スクリプトを使用して Active Directory ms-DS-MachineAccountQuota 属性の値を増加または減少させます。

状況

この現象は仕様によるものです。

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID
251335 (最終更新日 2001-09-28) をもとに作成したものです。


プロパティ

文書番号:251335 - 最終更新日: 2004/05/10 - リビジョン: 1

フィードバック