Windows AD でメンバサーバは上書きドメイン参加は可能か

【目次】

疑問

Windows Active Directory ドメイン (AD) 参加済みのメンバサーバがOSイメージを一新するため sysprep を実行しました。ただし AD のアカウントは残ったままです。このような状況で上書き参加可能ですか。

結論

調査結果からは参加は可能。（サポートされるかは不明）

調査の経緯

(1)
ADでコンピュータアカウントの状態を確認する。

PS C:\> Get-ADComputer -Identity mypcname

DistinguishedName : CN=mypcname,CN=Computers,DC=mydomainname,DC=com
DNSHostName : mypcname.mydomainname.com
Enabled : True
Name : mypcname
ObjectClass : computer
ObjectGUID : ********-****-****-****-************
SamAccountName : mypcname$
SID : S-1-5-21-**********-*********-**********-****
UserPrincipalName :

(2)
オフラインでドメインから離脱。要するにADに残ったままworkgroupに変更。

(3)
sysprep実行

(4)
SID 確認

C:\>whoami /user

USER INFORMATION
----------------

ユーザー名 SID
============================= ============================================
mypcname\administrator S-1-5-21-**********-**********-*********-***

ワークグループの場合はSIDの-*** を除いた部分がコンピュータのSIDとなる。ドメインにログイン中の場合はこの方法では確認できない。

(5)
再度参加できるか確認する。
参加できたが、ドメインのコンピュータアカウントのSIDは変わっていない。



PS C:\> Get-ADComputer -Identity mypcname



DistinguishedName : CN=mypcname,CN=Computers,DC=mydomainname,DC=com

DNSHostName       : mypcname.mydomainname.com

Enabled           : True

Name              : mypcname

ObjectClass       : computer

ObjectGUID        : ********-****-****-****-************

SamAccountName    : mypcname$

SID               : S-1-5-21-**********-*********-**********-****

UserPrincipalName :

結論

参加できることはできたが、AD側のコンピュータアカウントのSIDは古いままである。サポートされるかは不明。
メンバサーバに限って言えばローカルのSIDはドメインでは使用されないため(ドメインのSIDが使われる)変わっていても問題ないとは思われる。

(ご注意) 本サイト内の内容を使用して発生したいかなる時間的損害、金銭的損害あるいはいかなる損害に対して、いかなる人物も一切の責任を負いません。あくまでも個人の判断で使用してください。本ページは独自に調査をしたアンオフィシャル(非公式)な内容です。内容に誤りがある可能性や仕様変更により内容が不正確になる可能性があります。本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。このページはリンクフリーです。(このページへの直接リンクも可能です。)

Copyright(c) TOOLJP.COM 1999-2022

[Windows Server 2016 FAQ 一覧に戻る]