この記事を読んで知れること
AWS Managed Microsoft AD環境下で、ドメインの一般ユーザがコンピュータを登録できる上限台数を変更する方法案を知れる
目次
はじめに
Active Directory(以下、AD)環境において、管理者ユーザではない一般ユーザで、コンピュータをドメインに参加させたい場面があります。
通常のAD環境(オンプレ環境下)の場合だと、一般的な方法として、「ms-DS-MachineAccountQuota」から設定変更を実施します。
ドメイン毎で、コンピュータを登録できる台数の制限はデフォルトで10台までとなっていますが、ms-DS-MachineAccountQuotaを変更することにより、上限を変更することが可能です。
しかし、AWS Managed Microsoft ADでは、コンピュータを登録できる台数を、ms-DS-MachineAccountQuotaで変更することはできません。
今回の記事では、AWS Managed Microsoft AD環境下で、管理者ユーザではない一般ユーザが、コンピュータの登録台数を変更する実現案をご紹介いたします。
AWS Managed Microsoft ADの制限
AWS Managed Microsoft ADにてms-DS-MachineAccountQuotaを変更できない件についてご説明いたします。
AWS Managed Microsoft ADでは、Microsoft(オンプレ環境下)で利用するActive Directoryの操作と比べて、一部操作が制限されています。
Only the actions listed here are allowed for the Admin account. The Admin account also lacks permissions for any directory-related actions outside of your specific OU, such as on the parent OU.
AWS Managed Microsoft ADの管理者ユーザとなるAdminユーザでは、お客様の認識のドキュメント記載の決まったタスクに対する許可と、AWS Managed Microsoft ADで作成される OUに対してのみ、変更権限が与えられます。
例えば、hoge.localというドメインで作成した場合、Users コンテナと同じレベルに hogeという OU が作成され、そのOUに対し、変更権限が与えられます。
「ms-DS-MachineAccountQuota」はドメインレベルで設定する値のため、上記のAWS Managed Microsoft AD側の条件に合致せず、AWS Managed Microsoft AD側では操作できない仕様のようです。
AWS Managed Microsoft AD環境下での登録台数変更方法
代替方法としては、以下があります。
- 対象のOUに対し、「制御の委任」にて、「コンピューターのドメインへの参加」を有効化させる。これにより、ドメインの管理者ではなく一般ユーザであっても、制限なくコンピュータをドメインに参加させる方法
AWS Managed Microsoft ADではコンピューターオブジェクトの作成先はDomain,
OU を右クリックして「権限の委譲」から権限を付与したいセキュリティグループやユーザーを選択し、Computer オブジェクトの Write 権限を付与する、もしくは Computer オブジェクトの作成権限を付与することで、10というコンピュータの登録台数上限をなくすことができます。
まとめ
先にご説明したとおり、AWS Managed Microsoft ADでは、通常のActive Directoryの操作と比べて一部操作が制限されています。
特に、オンプレからAWSの移行を考える場合などは、オンプレで利用していたActive Directoryの操作ができず、代替案を探る場面も出てくることでしょう。
AWS Managed Microsoft ADで操作できるアクションをあらかじめ確認、調査したうえで、対応方法を検討するようにしましょう。
それではまた!
