web-dev-qa-db-ja.com

パスワードなしのADドメイン参加

Windows NTの昔は、誰でもその名前のコンピュータをドメインに参加できるように、「空白の」コンピュータアカウントを作成できたのを覚えています。

ActiveDirectoryでも同じことをしたいと思います。具体的には:

  • メンバーまたはRODC用の「空白の」コンピューターアカウントを作成する
  • 対話なしでコンピューターをドメインに参加させる

私が解決しようとしている問題は、RODCとしてドメインに参加する必要がある1,400台のsamba4サーバーがあります。私は本当に、本当に、本当に、パスワードを1400回入力したくありません。適切に自動化したい(人形/シェフ/何でも)。

たぶん、ksshとKerberosチケット転送を使用してこれを解決できますか?アイデアを受け入れる。

3
MikeyB

これに対する私の最初のアプローチは次のとおりです。

  1. 新しいドメインユーザーを作成し、 コンピューターをドメインに参加させる権限を付与します
  2. ユーザー名とパスワードを自動化ツール(puppet、chef、シェルスクリプトなど)に埋め込みます。
  3. すべてのコンピューターがドメインに参加したら、ドメインに参加しているユーザーを削除できます。ユーザーを維持する場合は、パスワードを変更するか、アカウントをロックする必要があります。
7
Michael Hampton