【Q&A】 #ドメイン 参加時のコンピューターアカウントの重複 / #windows #ad #activedirectory

【Q&A】ドメイン参加時のコンピューターアカウントの重複

この記事の内容

• Active Directory 環境でコンピューターを入れ替えた際に「コンピューターアカウントが重複している」というエラーが発生する原因を解説します
• ドメイン参加の権限を持つユーザーについて整理します
• 一般ドメインユーザーがドメイン参加できる台数制限（デフォルト10台）について説明します
• 組織がドメイン参加を管理するための一般的なパターンを紹介します
• コンピューターアカウントを事前作成して権限を付与するアプローチについて解説します

質問の内容

今回いただいた質問は次のような内容です。

Active Directory 環境に参加していた Windows 7 マシンを Windows 10 に新規で入れ替えた際、同じコンピューター名でドメインに再参加させようとしたところ、「コンピューターアカウントが重複しているため、削除してください」というエラーが発生した。なぜこのようなことが起きるのか？

この問題は Active Directory のドメイン参加の仕組みや権限まわりが絡んでくるため、少し複雑な話になります。

ドメイン参加の基本的な流れ

Active Directory 環境では、Windows PC をドメインに参加させると、Active Directory 上に コンピューターアカウント が作成されます。DNS の参照やネットワーク疎通が確保された状態で、ユーザーが資格情報を使ってドメイン参加操作を行うと、このアカウントが作られる仕組みになっています。

ドメイン参加できるのは誰か

ドメイン参加には 権限を持つユーザー が必要です。重要なのは、「ドメイン管理者（Domain Admin）でなくても、一般のドメインユーザーでもドメイン参加ができる」という点です。

Active Directory のデフォルトの動作として、一般ドメインユーザーは 最大10台まで ドメイン参加させることができます。11台目以降はエラーとなります。

この仕様はあまり知られていないことも多く、「一般ユーザーでもドメイン参加できるんですか？」と驚かれることもあります。

一般ユーザーによるドメイン参加のリスク

一般ユーザーでもドメイン参加できるということは、極端な話、自宅のパソコンを会社のネットワークにつないで、自分のドメインアカウントでドメイン参加してしまうことが可能 になります。

これは BYOD（Bring Your Own Device）を許可している組織であれば問題ありませんが、多くの組織ではセキュリティ上の理由からこれを禁止したいと考えています。

組織でよく使われる管理パターン

パターン1：一般ユーザーのドメイン参加を禁止する

設定によって一般ユーザーのドメイン参加を禁止し、ドメイン管理者（または専用の作業用アカウント）だけがドメイン参加できる 状態にするパターンです。

PC のセットアップ・キッティング作業は管理者権限を持つ担当者が行い、エンドユーザーに代わってドメイン参加を実施します。一般ユーザーがドメイン参加しようとするとエラーになります。

パターン2：コンピューターアカウントを事前作成して権限を設定する

Active Directory 上にあらかじめコンピューターアカウントを作成しておき、「このアカウントには〇〇さんがドメイン参加できる」という形で 特定のユーザーに参加権限を付与 するパターンです。

たとえばキッティング作業を外部委託する場合、作業者にドメイン管理者権限を渡すのは権限が強すぎます。そこで、作業専用アカウントを発行し、そのアカウントであれば特定のコンピューターアカウントに対してドメイン参加できるよう設定しておく、という運用が可能です。

今回のエラーの原因

冒頭の質問に戻ります。今回のエラー「コンピューターアカウントが重複しているため削除してください」が発生した原因は次のように考えられます。

1. Windows 7 マシンがすでにドメイン参加しており、Active Directory 上にコンピューターアカウントが存在していた
2. Windows 10 に入れ替えた後、同じコンピューター名 で再度ドメイン参加しようとした
3. ドメイン参加に使ったアカウントが、既存のコンピューターアカウントを 上書きするほどの権限を持っていなかった

ドメイン管理者レベルの権限、またはそのコンピューターアカウントに対する上書き権限を持つアカウントで参加操作を行えば、既存のアカウントに上書きする形でドメイン参加が成功します。権限が不足している場合はエラーとなります。

まとめ

• Active Directory のデフォルト設定では、一般ドメインユーザーでも最大10台までドメイン参加できます
• 多くの組織では、一般ユーザーによるドメイン参加を設定で禁止しています
• コンピューターアカウントを事前作成し、特定のアカウントだけに参加権限を付与する運用パターンもあります
• 「コンピューターアカウントが重複」というエラーは、既存のコンピューターアカウントを上書きする権限がないアカウントで、同名のドメイン参加を試みた場合に発生します
• 解決するには、ドメイン管理者権限または対象コンピューターアカウントへの上書き権限を持つアカウントで操作を行う必要があります