管理者以外によるコンピューターのドメイン参加を無効にする
Active Directory のデフォルトでは、管理者以外のユーザーが最大 10 台のコンピューターをドメインに登録できる設定になっており、昨今のセキュリティ事情としては望ましい設定とは考えにくいです。
そこで、 ADSI エディターを使って管理者以外によるコンピューターのドメイン参加を無効にするよう設定します。
管理者以外によるコンピューターのドメイン参加を無効にする
「ファイル名を指定して実行」を表示し、「adsiedit.msc」と入力します。
メニューの[操作] - [接続] をクリックします。
[接続ポイント] の [既知の名前付けコンテキストを選択する] が選択され、[既知の名前付けコンテキスト] になっていることと[コンピューター]の[既定(ログインしたドメインまたはサーバー)] が選択されていることを確認し[OK]をクリックします。
左ペインにドメインが表示されるので、「DC=...」を右クリックし、表示されたポップアップメニュにある[プロパティ]をクリックします。
ダイアログが表示されるので、属性タブを選択し一覧から「ms-DS-MachineAccountQuota」を探します。
「ms-DS-MachineAccountQuota」がデフォルトでは「10」に設定されているので「0」へ変更します。
以上で、管理者以外によるコンピューターのドメイン参加が無効になります。
おまけ
「ms-DS-MachineAccountQuota」の変更は、「Active Directory ユーザーとコンピューター」からでも変更することができます。
メニューの[表示] - [拡張機能] をクリックします。
![Active Directory ユーザーとコンピューターにあるメニューの[表示] - [拡張機能]](/assets/img/windows/adsi07.png)
ドメインを右クリックし、表示されたポップアップメニューの「プロパティ」をクリックします。
表示されたダイアログの「属性エディター」タブを選択すると、一覧の中に「ms-DS-MachineAccountQuota」が確認できます。
