現在オフラインです。再接続するためにインターネットの接続を待っています

ドメイン ユーザーがワークステーションまたはサーバーをドメインに参加させられない

Windows XP のサポートは終了しました

マイクロソフトでは、2014 年 4 月 8 日に Windows XP のサポートを終了しました。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

この記事は、以前は次の ID で公開されていました: JP251335
現象
Windows NT 4.0 Workstation または Windows NT 4.0 Server を実行しているコンピュータから Windows 2000 ドメインに参加しようとすると、次のエラー メッセージが表示される場合があります。
コンピュータアカウントが存在しないか、または利用できません。
参加させようとしているワークステーションまたはサーバーが、Windows 2000 Professional、Windows XP Professional、Windows 2000 Server のいずれかを実行しているコンピュータである場合は、以下のエラー メッセージが表示されます。
コンピュータをドメインに参加できませんでした。このドメインに作成できるコンピュータ アカウントの最大数を超えています。システム管理者に問い合わせて制限をリセットするか、または増やしてください。
: このエラー メッセージは、既に 10 台のワークステーションをドメインに参加させている場合にのみ発生します。
原因
Windows 2000 では、デフォルトで、「ワークステーションをドメインに追加する」特権が Authenticated Users グループに付与されます。この特権が有効になっていると、Authenticated Users は、アクセス制御リスト (ACL) チェックを、事前に定義されている最大値までバイパスすることができます。悪用を避けるために、どの Authenticated Users でも参加可能なマシン アカウントの最大数は、デフォルトで 10 になっています。
解決方法
この問題を解決するには、次の該当する方法を実行してください。

方法 1: ユーザーのコンピュータ アカウントを事前に作成する

  1. Active Directory ユーザーとコンピュータ スナップインから、アカウントが含まれているコンテナを右クリックします。
  2. [新規作成] をクリックして、[コンピュータ] をクリックします。
  3. [コンピュータ名] ボックスに、ドメインに参加させたい Windows 2000 ベースのコンピュータの名前を入力します。

    このコンピュータの名前が [コンピュータ名 (Windows 2000 以前)] ボックスにも入力されていることを確認します (これは自動的に行われます)。
  4. [変更] をクリックします。このコンピュータをドメインに参加させるユーザーまたはグループを選択して、[OK] をクリックします。
  5. Windows NT 4.0 およびそれ以前のオペレーティング システムによってこのコンピュータ名オブジェクトが使用できるようにするには、[Windows 2000 以前のコンピュータに、このアカウントの使用を許可] チェック ボックスをクリックしてオンにし、[OK] をクリックします。

方法 2: [コンピュータ オブジェクトの作成] および [コンピュータ オブジェクトの削除] アクセス制御エントリ (ACE) をユーザーに付与する

  1. Active Directory ユーザーとコンピュータ スナップインから、[表示] メニューの [拡張機能] をクリックして、[プロパティ] をクリックしたときに [セキュリティ] タブが表示されるようにします。
  2. [コンピュータ] コンテナを右クリックして、[プロパティ] をクリックします。
  3. [セキュリティ] タブの [詳細設定] をクリックします。
  4. [アクセス許可] タブの [Authenticated Users] をクリックして、[表示/編集] をクリックします。

    : Authenticated Users グループがリストにない場合は、[追加] をクリックしてアクセス許可エントリのリストに追加します。
  5. [このオブジェクトとすべての子オブジェクト] オプションが [適用先] ボックスに表示されていることを確認します。
  6. [アクセス許可] ボックスから、[コンピュータ オブジェクトの作成] および [コンピュータ オブジェクトの削除] の各 ACE の隣にある [許可] チェック ボックスをクリックしてオンにし、[OK] をクリックします。

方法 3: Authenticated Users がドメインに参加させることのできるコンピュータ数のデフォルトの制限値を上書きする

以下のいずれかの方法を使用すると、デフォルトの制限値を上書きすることができます。
  • Microsoft Windows 2000 リソース キットに含まれている Ldp (Ldp.exe) ツールを使用します。
  • ADSI (Active Directory Services Interface) スクリプトを使用して Active Directory ms-DS-MachineAccountQuota 属性の値を増加または減少させます。
状況
この現象は仕様によるものです。
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 251335 (最終更新日 2001-09-28) をもとに作成したものです。

プロパティ

文書番号:251335 - 最終更新日: 05/10/2004 19:47:00 - リビジョン: 4.0

  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows XP Professional Edition
  • kbenv kbprb KB251335
フィードバック