Windows Server 2003 必携Bible
サポートページ
補足情報
Active Directoryドメインへのログオン時に次のエラーが発生する場合(本書321ページ参照)[暫定版]
「アクセスが拒否されました」というエラーメッセージが表示されるドメイン名の指定についてはっきりしていること
「コンピュータ名の変更」画面(1)で存在しないドメイン名を指定すると,「ドメインコントローラと通信できません」というエラーメッセージが表示されます。…画面(2)
画面(1) 画面(2)ここでドメイン名の指定後に画面(3)が表示されれば,少なくともドメインコントローラとの通信には成功していることが分かります。
画面(3)また,そのドメインに登録されていないユーザ名が指定された場合,あるいはユーザ名は正しくてもパスワードが間違っている場合は,画面(4)のエラーメッセージが表示されます。
画面(4)Windows Server 2003を新規インストールして確認
「アクセスが拒否されました」と表示されるエラーについて確認するため,Windows Server 2003を新規インストールしてサービスパック1のほか最新のアップデートを適用し,Active Directoryドメインをインストールしてみました。その結果,筆者の環境でも同様のエラーが発生しました。
ポイントは「クライアント側の権限」
クライアント側でファイアーウォールが有効になっていると,ネットワークを遮断します。エラーが発生しないように,ファイアーウォールを無効にしておきます。
また,サーバ側でファイアーウォールが有効になっていると,Active Directoryドメインを構築する過程で警告が表示されるので,ファイアーウォールを無効にします。細かい設定は,Active Directoryドメインが稼動してからでよいでしょう。
問題になっているエラーは,ドメイン側のネットワークユーザのアクセス権に関係していることは明らかなので,とりあえずこのユーザに「Domain Admins」を追加し,この環境下でクライアントからドメインへ参加できるようにします。つまり,ドメイン側では「Active Directoryユーザーとコンピュータ」画面(5)でユーザー名を右クリックし,表示されたショートカットメニューから「プロパティ」を選択します。ユーザのプロパティ画面が表示されるので,画面(6)のように設定します。
画面(5) 画面(6)ドメイン側でこのように準備すれば,クライアント(Windows XP)から問題なくドメインへ参加できます。その後,ドメイン側ではユーザが所属する「Domain Admins」グループを削除します(ドメインへログオンする全ユーザが「Domain Admins」グループのメンバーになっている状態は,セキュリティ上問題です)。
考察~クライアント側の権限
クライアント側の権限には2つのカテゴリ(分類)があります。
- ・ドメインへのログオンに使うコンピュータのユーザの権限
- ドメインへのログオンには使うコンピュータが必要です。このコンピュータへログオンするときのユーザの権限は,「ドメインへログオンする」という大きな環境の変化を与えるわけですから,“ただのユーザ”では権限不足なのです。すなわち,“このコンピュータの管理者の権限を持つユーザ”でなければなりません。
- ・ドメインへ働きかけるユーザの権限
- 画面(3)で入力するユーザは,あらかじめドメインに登録されていなければなりませんが,このユーザに“ただの権限”しか与えられていないと,冒頭の「アクセスが拒否されました」というエラーメッセージが表示されます。これは「ネットワークの環境に大きな変化をもたらす作業をするのだから,“ただの権限”ではいけません」ということなのだと解釈しましょう。
画面(3)では,ドメインの管理者がこの場面に対処するか,先に説明したように,ドメイン側で画面(6)のように「Domain Admins」グループを追加し,このコンピュータがドメインへログオン可能な環境に移行した後,画面(6)で「Domain Admins」グループを削除します。
※注 上記の「ドメインへのログオンに使うコンピュータのユーザ」と「ドメインへ働きかけるユーザ」(画面(3))は,同一である必要はありません。働きかけるコンピュータが別であることに注目してください。