パスワードなしのADドメイン参加
Windows NTの昔は、誰でもその名前のコンピュータをドメインに参加できるように、「空白の」コンピュータアカウントを作成できたのを覚えています。
ActiveDirectoryでも同じことをしたいと思います。具体的には:
- メンバーまたはRODC用の「空白の」コンピューターアカウントを作成する
- 対話なしでコンピューターをドメインに参加させる
私が解決しようとしている問題は、RODCとしてドメインに参加する必要がある1,400台のsamba4サーバーがあります。私は本当に、本当に、本当に、パスワードを1400回入力したくありません。適切に自動化したい(人形/シェフ/何でも)。
たぶん、ksshとKerberosチケット転送を使用してこれを解決できますか?アイデアを受け入れる。
これに対する私の最初のアプローチは次のとおりです。
- 新しいドメインユーザーを作成し、 コンピューターをドメインに参加させる権限を付与します 。
- ユーザー名とパスワードを自動化ツール(puppet、chef、シェルスクリプトなど)に埋め込みます。
- すべてのコンピューターがドメインに参加したら、ドメインに参加しているユーザーを削除できます。ユーザーを維持する場合は、パスワードを変更するか、アカウントをロックする必要があります。