2.6. 端末のドメイン参加手順

ActiveDirectory に端末を参加させる際には、ActiveDirectory上に端末のアカウントとパスワードを作成する必要があります。また、端末側が起動するときにそのパスワードを使って ActiveDirectory にログオンする必要があります。

そのため、端末をドメイン参加させるには、次の2点が必要になります。

  • 端末が ActiveDirectory に登録されていること
  • ActiveDirectory サーバが端末ごとに管理するパスワードと、端末側で管理するパスワードが同じものであること。

また、この「端末ごとのパスワード」は標準設定においては端末が起動しているときに定期的に変更されます。通常の環境ではサーバと端末の双方で同期を取りながらパスワードを変更しますが、ほたてのような環境では端末側は再起動により復元されてしまうため、更新後のパスワードを忘れてしまうという問題が生じます。

このため、ほたてのような「再起動により復元する環境」「複数の端末を同じディスクイメージで起動する環境」において端末をドメインに参加させるには、次のような手順を行います。

  1. コンピュータアカウントパスワードの定期更新を禁止する
  2. ディスクイメージを更新して、最初の1台をドメインに参加する
  3. ほたて環境で利用するコンピュータアカウントパスワードを決めて、ディスクイメージに設定する
  4. Active Directory に多数の端末のコンピュータアカウントを登録し、それらのパスワードを設定する
  5. イメージ更新を終了し、ドメイン参加確認

2.6.1. コンピュータアカウントパスワードの定期更新を禁止する

端末を登録しようとしているドメインのグループポリシーにおいて、次の設定を Enable (有効) にしてください。

Domain member: Disable machine account password changes

https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/domain-member-disable-machine-account-password-changes

2.6.2. ディスクイメージを更新して、最初の1台をドメインに参加する

  1. イメージを更新モードにします。
  2. 更新作業端末を起動します。
  3. ドメインに参加します(通常のドメイン参加手順と同様です)。
  4. ドメイン参加完了のため、再起動をします。

2.6.3. ほたて環境で利用するコンピュータアカウントパスワードを決めて、ディスクイメージに設定する

  1. イメージ更新モードにします。

メモ

前章 コンピュータアカウントパスワードの定期更新を禁止する の 4. の再起動後から続けて作業することも可能です。

  1. ローカルユーザーでログオンします。
  2. 管理者権限でコマンドプロンプトを起動し、HotatePasswordManage.exe を実行します。

パスワードに hogehoge を設定する場合は、

C:\Program Files\CO-CONV\HotateBoot\client\HotatePasswordManage.exe hogehoge

を実行してください。

注意

次章 Active Directory に多数の端末のコンピュータアカウントを登録し、それらのパスワードを設定する でAD側に設定するパスワードと同じものを入力してください。

  1. 端末をシャットダウンします。
  2. イメージ更新を終了します。

メモ

ディスクイメージのコンピュータアカウントパスワードの設定は、イメージに対して1度だけ設定すればよいです。

メモ

同じ端末に複数のディスクイメージを割り当てることがある場合には、それらのディスクイメージに設定するパスワードは共通にしてください。

2.6.4. Active Directory に多数の端末のコンピュータアカウントを登録し、それらのパスワードを設定する

注意

  • ドメインの管理者権限を持つユーザーで行ってください。
  • ほたてブートサーバーで行う必要はありません。
  • C:\Program Files\CO-CONV\HotateBoot\server\Tools\HotateAdmin.exe が必要となります。
  • Active Directory に登録した全ての端末のコンピューターアカウントに対して、以下の手順を実施してください。
  1. 管理者権限でコマンドプロンプトを起動し、下記コマンドを実行します。
cd C:\Program Files\CO-CONV\HotateBoot\server\Tools
  1. HotateAdmin.exe ResetAdPassword コマンドを以下の引数で実行します。

ドメインが coconv.local、パスワードがhogehoge、ホスト名が PC01 である場合は

HotateAdmin.exe ResetAdPassword coconv.local hogehoge PC01

を実行してください。

注意

前項 ほたて環境で利用するコンピュータアカウントパスワードを決めて、ディスクイメージに設定する 3. で設定したパスワードと同じものを入力してください。

メモ

複数のホストに対してこの処理を行う際には、ホスト名をスペース区切りで複数指定できます。

2.6.5. ドメイン参加確認

端末をほたてブートで起動してドメインユーザーでログオンできることを確認してください。