ドメインに参加するとは?
「PCのドメイン参加なんて、通常は情報システム部が何やらやっているからよく分からん!」という方も多いと思います。
ドメインに参加する、という事をとても簡潔に説明すると、
「会社が管理する環境にPCを参加させる」
という事になります。
PCがドメインに参加する事で、以下のようなことが実現します。
1.PCにログオンするときにパスワードを入れる事で、その後の認証によるパスワード入力を省略できる(シングルサインオンという機能に由来します)
2.会社が推奨しているPC構成になる(グループポリシーという機能に由来します)
3.会社が推奨しているセキュアレベルになる(これもグループポリシーに由来します)
PCのドメイン参加は便利、不便という考えの手前にあるものとしてとらえよう。会社の推奨する環境に身を置くことで脆弱性を放置するセキュリティリスクなど不要なトラブルを回避できます。
ドメインに参加しているか確認する方法
確認方法はいくつかありますが、カンタンな方法をご紹介します。
PowerShellを開き、以下のコマンドを実行
ドメインに参加している場合、「DC=XXX」という記述が返される
ドメインに参加していない場合、このように表示される
準備
ドメインに参加するためにいくつか準備が必要です。
1.参加するドメインのFQDNで名前解決ができること
FQDN(Fully Qualified Domain Name)とは、つまりDNS上で使うドットで区切られたドメイン名の形式の事です。
yahoo.co.jp ←例えばこんなやつ
さて、参加するドメイン名に対してPowershellからpingというコマンドを打ってみましょうか。
こういう風に出れば問題なし。
こう出たら名前解決できていませんね。
この場合、DNSの参照設定を正しく設定してください。
一般的な環境ではActive DirectoryとDNSサーバは同じサーバ上で動作していますが、その場合はプライマリDNSをActive DirectoryサーバのIPアドレスにしてあげればOKです。
<DNSの設定方法>
(1)「ファイル名を指定して実行」からncpa.cplと入力してOK
(2)ネットワークアダプタを右クリックして「プロパティ(R)」を選択
(3)「インターネットプロトコルバージョン4(TCP/IPv4)」を選択後「プロパティ」を選択
(4)優先DNSサーバーにIPアドレスを入力後OK -> 閉じる
2.ユーザーアカウントが作られていること
ドメイン参加の途中で認証の入力が求められるので、認証のためのユーザーアカウントが必要になります。Active Directoryの管理権限があるならば下記を参考に作りましょう。
ドメインへの参加手順(Windows11の場合)
(1)PCの検索窓から「システムの」と入力し、[システムの詳細設定の表示]を開く
(2)[コンピュータ名]タブを開き、[変更(C)…]ボタンを押す
(3)所属するグループの所にあるラジオボタンを「ドメイン」の方にして、ドメイン名を入力したあとOK
(4)ユーザー名とパスワードを入れてOK
(5)ようこそのポップアップが表示されるのでOK -> OK
(6)すべてのウィンドウを閉じると以下を聞かれるので「今すぐ再起動する(R)」を選択すると、再起動される
(7)再起動後、ログオン画面が出ますが、ドメインのユーザーアカウントでログオンする為、「他のユーザー」をクリック
(8)ユーザーアカウントとパスワードを入力してログオン
(9)無事、ログオンできた事を確認
コメント