この問題に関するすべての記事では、ms-DS-MachineAccountQuota属性を変更することを提案していますが、これはすべての認証済みユーザーに影響します。
特定のユーザーに対してこの値を変更する方法、あるいは制限を削除する方法はありますか?
答え1
- 開くADSI編集MMC スナップインを使用して、ドメイン命名コンテキストに接続します。
- 変更するドメインの domainDNS オブジェクトを右クリックし、[プロパティ] を選択します。
- ms-DS-MachineAccountQuota 属性を編集し、新しいクォータ値を入力します。
- [OK]を2回クリックします。
あなたが言うように、これはすべての認証済みユーザーに影響しますが、特定のユーザーが必要です。
これを試して:
ユーザーに「コンピュータオブジェクトの作成」および「コンピュータオブジェクトの削除」アクセス制御エントリ (ACE) を付与します。
- Active Directory ユーザーとコンピューター スナップインから、[表示] メニューの [拡張機能] をクリックし、[プロパティ] をクリックしたときに [セキュリティ] タブが表示されるようにします。
- [コンピューター] コンテナーを右クリックし、[プロパティ] をクリックします。
- [セキュリティ] タブで、[詳細設定] をクリックします。
- [権限] タブで、権限を付与するユーザー オブジェクトを見つけて、[表示/編集] をクリックします。
- 必ずこのオブジェクトとすべての子オブジェクトオプションは適用する箱。
- [アクセス許可] ボックスで、[コンピュータ オブジェクトの作成] および [コンピュータ オブジェクトの削除] ACE の横にある [許可] チェック ボックスをオンにして、[OK] をクリックします。
「MSKB251335」の方法2に基づくドメイン ユーザーはワークステーションまたはサーバーをドメインに参加させることができません「