コンピュータをドメインに追加する方法(GUIおよびPowerShell)

チュートリアル

アクティブディレクトリ(AD)は数十年前の技術で、毎日何千もの組織が使用しています。ADを活用するには、コンピュータをADドメインに参加させる必要があります。それを行うためには、いくつかの異なる方法があることに気付かないかもしれません。詳細は次をご覧ください。

A FREE read only tool that scans your AD and generates multiple interactive reports for you to measure the effectiveness of your password policies against a brute-force attack. Download Specops Password Auditor now!

このチュートリアルでは、Windows GUIおよびnetdomユーティリティとPowerShellを使用してコンピュータをドメインに追加する方法を学びます。

事前条件

このチュートリアルの手順に従いたい場合は、次のものが必要です:

  • アクティブディレクトリドメイン。このチュートリアルでは、homelab.localというドメインを使用します。
  • A Windows 10 Pro, Enterprise, or Education computer in a workgroup that can access an AD domain controller. Not all versions of Windows 10 can be joined to a domain. This tutorial will use a computer called Win10Demo.
  • コンピュータをドメインに追加する権限を持つADユーザーアカウント。必要な権限の詳細については、こちらで確認できます。
  • ドメインコントローラ上のActive Directory Users and Computers(ADUC)へのアクセス(ドメイン参加を確認するため)
  • Remote Server Administration Tools(RSAT)パッケージを使用するためのコマンドラインへのアクセス

GUIを使用してコンピュータをドメインに追加

ADドメインにコンピュータを追加する最も一般的な方法の1つはGUIです。このアプローチは、一度に単一または複数のコンピュータを追加する必要がある場合に適しています。ただし、複数のコンピュータを一度に追加するのには向いていません。それについては後で説明します。

前提として、既存のドメインコントローラにアクセスできる Windows 10 ワークグループコンピューターにいると仮定します:

1. コマンド sysdm.cpl を実行してください。このコマンドは システムプロパティ コントロールパネルアプレットを開きます。

System Properties Dialog box

2. システムプロパティ スクリーンで、変更 ボタンをクリックしてください。このボタンは コンピューター名/ドメインの変更 ダイアログボックスを表示します。

Change option in System Properties Dialog box

3. このコンピューターが WORKGROUP という名前のワークグループにあることが分かります。 コンピューター名/ドメインの変更 ダイアログボックスで、ドメイン ラジオオプションをクリックして、このコンピューターを追加するドメインを入力してください。

Computer Name/Domain Name Change Dialog box

4. ドメイン ボックスにコンピューターを追加するドメインの名前を入力し、OK をクリックしてください。コンピューターはドメインコントローラに連絡を試み、ドメインに自分自身を追加します。

Computer Name/Domain Name Change Dialog box

関連:このワークステーションとプライマリ ドメイン間の信頼関係が失敗しました

コンピューターがすぐに入力したドメイン名に連絡できない場合、以下のエラーが表示されます:コンピューターがドメインコントローラーに連絡できない場合は、コンピューターの DNS サーバーがドメインコントローラーを指すようにします。コンピューターは DNS SRV レコードを見つけてドメインコントローラーを見つける必要があります。

5. コンピュータがドメインコントローラに接続できる場合、以下のようにユーザー名とパスワードを入力するように求められます。このコンピュータをドメインに追加する権限を持つユーザーアカウントを入力し、OKをクリックしてください。

Domain Join Credentials Dialog box

6. すべてがうまくいけば、以下のようなドメインへの参加を歓迎するメッセージが表示されます。この時点で、コンピュータはADコンピュータオブジェクトを作成します。OKをクリックしてください。

関連:Get-ADComputer:PowerShellでOU内のコンピュータを検索する

Successfully added to Domain Notification

7. コンピュータを再起動する必要があることを確認するために、再度OKをクリックしてください。

Restart your computer Notification

8. その後、システムのプロパティダイアログボックスに戻りますが、今度は警告が表示されます(このコンピュータを再起動すると変更が有効になります。閉じるをクリックしてください。

System Properties dialog box post joining to domain

9. 閉じるをクリックすると、Windowsは今すぐ再起動するように促します。コンピュータをすぐに再起動するには、今すぐ再起動をクリックしてください。

Local computer Restart prompt

設定アプリを使用してローカルコンピュータをドメインに追加する方法

以下に説明する手順は、Windows10 20H2バージョンのみで利用可能です。これらの手順は将来のWindows10バージョンで変更される場合があります。

1. スタートメニューを右クリックし、設定をクリックします。

Settings option in start menu

2. 設定の下で、アカウントをクリックします。

Accounts option in Settings app

3. 次のページで、「職場または学校へのアクセス」オプションをクリックし、右側の接続オプションをクリックします。

Access work or school option in settings

4. ローカルのActive Directoryドメインにこのマシンを参加させるために、Microsoftアカウントのダイアログボックスで、「このデバイスをローカルのActive Directoryドメインに参加させる」オプションをクリックし、次へをクリックします。

Join this device to local Active Directory Domain option

5. 次のページで、ドメイン名を入力し、次へをクリックします。

Domain Name dialog box

6. コンピュータがドメインコントローラに接続できる場合、以下のようにユーザー名とパスワードを入力するように求められます。このコンピュータをドメインに追加するための権限を持つユーザーアカウントを入力し、OKをクリックします。

Credentials dialog box

7. 次のページで、このマシンを使用するアカウントタイプを選択します。

  • 管理者を選択した場合、このマシンをドメインに追加するために使用したユーザーIDが、マシンのローカル管理者グループに追加されます。
  • 標準ユーザーを選択した場合、ユーザーIDはローカル管理者グループに追加されません。また、スキップして次のページに進むこともできます。このデモでは、標準ユーザーを選択し、次へをクリックします。
Account type prompt

8. コンピュータをすぐに再起動するには、今すぐ再起動をクリックします。

Restart prompt

9. 再起動後、ドメインユーザーIDでマシンにログインできます。

Netdomを使用してローカルコンピュータをドメインに追加する

これまで、Windows 10コンピュータをGUIを使用してドメインに追加する方法を見てきましたが、GUIを使用する必要はありません。代わりに、netdomユーティリティを使用してコマンドラインを使用することができます。Netdomは、RSATパッケージに付属するコマンドラインツールです。

既存のドメインコントローラにアクセスできるWindows 10ワークグループコンピュータ上で作業していると仮定します:

1. 管理者としてcmd.exeを開きます。

2. 以下のパラメータを指定してnetdom joinを実行してください。

joinパラメータの直後にコンピューター名が必要です。他のコンピューターでこのコマンドを使用している場合は、値を変数%computername%で置き換えて、常にローカルコンピューターを表すようにします。 

netdom.exe join %computername% /domain:DomainName /UserD:DomainName\UserName /PasswordD:Password
Netdom command output

3. コンピューターを再起動し、コンピューターがドメインに参加します。

PowerShellを使用してローカルコンピューターをドメインに追加する

ドメインに追加するコンピューターが多数ある場合、オンボーディング自動化プロセスがある場合、またはコマンドラインを好む場合は、PowerShellを使用してコンピューターをドメインに追加できます。

既存のドメインコントローラーにアクセスできるWindows 10ワークグループコンピューター上であると仮定します。

1. 管理者として実行することを確認して、Windows PowerShellを開きます。

関連:管理者としてPowerShellを実行する方法

PowerShellコンソールで、Add-Computer cmdletを実行します。このcmdletは、GUI経由でコンピューターをドメインに追加すると同じ操作を実行します。コンピューターを追加するドメイン名をDomainNameパラメータで指定し、完了時にコンピューターを自動的に再起動する場合はオプションでRestartパラメータを指定します。

ユーザー名とパスワードを指定するには、Credentialパラメーターを指定することもできます。詳細については、この記事を参照してください。コンピュータを作成時に異なるOUに追加したい場合は、OUPathパラメーターを指定します。その他のオプションについては、Get-Help Add-Computer -Fullを実行してください。 

Add-Computer -DomainName DomainName -Restart
Add-Computer cmdlet credentials prompt

PowerShell 7.xでは、Add-Computerコマンドレットは利用できません。PowerShell 7.xにこのモジュールをインポートするには、Import-Module Microsoft.PowerShell.Management -UseWindowsPowerShell -WarningAction SilentlyContinueを使用します。これにより、バックグラウンドでWindows PowerShell 5.1を使用して、現在のPS 7.xセッションでこのコマンドを実行します。

WMIを使用してローカルコンピュータをドメインに追加

このチュートリアルがすべてのコンピュータをドメインに追加する方法を網羅するために、すべての方法を続行しましょう。これには、Windows Management Instrumentation(WMI)を使用するあまり知られていない方法が含まれています。

ローカルコンピュータをWMIを使用してドメインに追加するには、WMIメソッドを呼び出す必要があります。このメソッドは、netdomまたはAdd-ComputerPowerShellコマンドレットを使用するのと同じタスクを実行します。

多くの異なる方法でWMIメソッドを呼び出すことができます。このチュートリアルでは、wmicコマンドラインユーティリティとPowerShellを使用する2つの方法に焦点を当てましょう。

WMICの使用

WMICを使用してコンピューターをドメインに追加するには:

1. 管理者としてコマンドプロンプト(cmd.exe)を開きます。

2. 以下のコマンドを実行します。このコマンド:

  • whereクエリ(where name="%computername%"を使用してローカルコンピューターを指定します)
  • Win32_ComputerSystem WMIクラス(computersystem)の一部であるjoindomainorworkgroupメソッドを呼び出します(call joindomainorworkgroup
  • ドメインに参加するためのfjoin options 3などの適切なビット演算子を指定します。
  • homelab.localドメインにコンピューターを追加し、username="homelab\labadmin Password="secret"を使用してhomelab.localドメインに認証します。labadminユーザーアカウントを指定します。
wmic computersystem where name="%computername%" call joindomainorworkgroup fjoinoptions=3 name="homelab.local" username="homelab\labadmin" Password="secret"
WMIC command output

3. 完了したら、コンピューターを再起動します。

PowerShellのGet-WmiObject Cmdletの使用

あなたはPowerShellを使用してJoinDomainOrWorkgroup WMIメソッドを呼び出すこともできます。以下の手順に従ってください:

1. 管理者としてPowerShellを開きます。

2. 次のコマンドを実行します。このコマンドは、同じ引数を使用して上記のwmicと同じタスクを実行します。

(Get-WMIObject -NameSpace "Root\Cimv2" -Class "Win32_ComputerSystem").JoinDomainOrWorkgroup("homelab.local","secret","homelab\labadmin",$null,3)
Get-WMIObject command output

3. 完了したら、コンピュータを再起動します。

リモートでコンピュータをドメインに追加

このチュートリアルでは、実際のコンピュータの前に座ってコンピュータをドメインに追加する方法を学びました。しかし、そのコンピュータの前に座ることができない場合や、追加するコンピュータが多い場合、その場合はPowerShellが最適です。

リモートでコンピュータをドメインに追加するには、上記で説明したようにPowerShellでWMIメソッドを使用するか、Get-WmiObject cmdletのComputerNameパラメータを使用するか、PSRemotingを使用するかを選択できます。

関連記事:PowerShell Remoting: The Ultimate Guide

リモートコンピュータをドメインに追加するには、Add-Computer PowerShell cmdletを呼び出します。ただし、この場合はComputerNameパラメータを使用します。

Add-Computer cmdletをリモートで実行するには、すべてのリモートコンピュータでPSRemotingが有効であることを確認する必要があります。

1. ローカルのワークステーション(ドメインに追加するコンピューターではないコンピューター)で、管理者として PowerShell を開きます。

2. 以下のコマンドを実行します。このコマンドは、

  • リモートコンピューターとして win10demo-ComputerName win10demo)を homelab.local ドメイン(-DomainName homelab.local)に追加します。
  • win10demo のローカルユーザーである user01 を使用してリモートコンピューターに認証します(-LocalCredential win10demo\user01
  • ドメインにコンピューターアカウントを追加するために labadmin ドメインアカウントを使用します(-Credential homelab\labadmin)。
  • コマンドが完了した後、コンピューターは自動的に再起動します(-Restart
Add-Computer -ComputerName win10demo -LocalCredential win10demo\user01 -DomainName homelab.local -Credential homelab\labadmin -Restart

PowerShell 7.x では、Add-Computer コマンドレットは利用できません。PowerShell 7.x にこのモジュールをインポートするには、Import-Module Microsoft.PowerShell.Management -UseWindowsPowerShell -WarningAction SilentlyContinue を使用します。これにより、このコマンドが現在の PS 7.x セッションで実行されるために、バックグラウンドで Windows Powershell 5.1 が使用されます。

Add-Computer コマンドレットが呼び出されると、user01labadmin アカウントのパスワードを入力するように求められます。完了すると、PowerShell はリモートコンピューターを自動的に再起動します。

Add-Computer コマンドレットは、デフォルトでユーザーがログインしている場合はリモートコンピューターを再起動しません。これをオーバーライドするには、常にリモートコンピューターを再起動するために Force スイッチパラメータを指定します。

AD コンピューターアカウントの作成を確認します

コンピュータがドメインに追加されると、コンピュータオブジェクトが作成されます。コンピュータが正しくコンピュータオブジェクトを作成したことを確認するために、Active Directory ユーザーズとコンピューターズ(ADUC)を開いて確認しましょう。

1. ドメインコントローラにRDPし、Active Directory ユーザーズとコンピューターズ(ADUC)を開くか、リモートサーバー管理ツール(RSAT)パッケージがインストールされている場合はローカルコンピューターでADUCを開きます。

関連情報:Active Directory モジュールのインストールとインポート方法

2. ADUCで、ドメイン名ノード(この場合はhomelab.local)を展開し、Computersコンテナをクリックします。前のセクションで追加されたコンピュータオブジェクトが表示されるはずです。

デフォルトでは、ドメインに追加されたすべてのコンピュータは、Computersコンテナの下に追加されます。

Active Directory Users and Computers snapin

3. Windows 10のコンピューターで、ログイン画面でその他のユーザーをクリックして、任意のADユーザーアカウントでログインします。

Login as Other user option post domain joined

以下のスクリーンショットに示すように、パスワードボックスの下にドメイン名が表示されます。

Domain name while logging in

無料のSpecops Password Auditorツールを使用して、Active Directoryをスキャンし、930万以上の既知の侵害されたパスワードを含むパスワード関連の脆弱性を特定します。今すぐダウンロード!

結論

この記事では、AD ドメインにコンピューターを追加する複数の方法を見てきました。各方法には利点と欠点がありますが、これであなたの前にすべてのオプションがあります。

次のコンピューターをドメインに追加する方法をすべて知っているので、次のコンピューターをドメインに追加しますか?

Source:
https://adamtheautomator.com/add-computer-to-domain/