Active Directory ドメイン サービス (AD DS) をインストールするときは、新しいフォレスト、新しいドメイン、既存のドメインに対する追加のドメイン コントローラーなど、ドメイン コントローラーに対する展開構成を選択しますが、その際、展開構成を行うのに十分な特権を持つドメイン ユーザー アカウントに対応した資格情報を入力する必要があります。Active Directory ドメイン サービスのインストール ウィザードによって、入力した資格情報が調べられ、ドメイン コントローラーがインストールされるフォレストが決まります。
現在ログオンしているユーザー アカウントの資格情報 (または入力した代替の資格情報) が、インストールするドメイン コントローラーのターゲット フォレストを示している場合は、そのフォレスト名がウィザードの [ネットワーク資格情報] ページで自動的に指定されます。このページで指定されたフォレスト名に基づいて、そのフォレストのすべてのドメインがウィザードの [ドメインの選択] ページに列挙されます。
ウィザードでは、入力された資格情報から常にターゲット フォレストを検出できるとは限りません。たとえば、スマート カードやユーザー プリンシパル名 (UPN) を使用して資格情報を入力された場合は、インストール先フォレストを検出できないことがあります。この場合は、ターゲット フォレストの名前を [ネットワーク資格情報] ページで指定する必要があります。ターゲット フォレストの名前は、そのフォレストのフォレスト ルート ドメインの名前です。
入力した資格情報からターゲット フォレスト名が検出された場合は、自動的に入力された名前を上書きして、AD DS をインストールするのに十分な特権を持つ別のターゲット フォレストの名前を指定できます。
IP バージョン 6 (IPv6) のみを実行しているネットワークでは、単一ラベルのドメイン名ではなく、完全修飾ドメイン名 (FQDN) をユーザー アカウント資格情報に指定する必要があります。たとえば、contoso\ユーザー名ではなく、corp.contoso.com\ユーザー名、またはユーザー名@corp.contoso.com と指定する必要があります。
ネットワーク資格情報の要件
Active Directory ドメイン サービスのインストール ウィザードで必要となるネットワーク資格情報は、各種の展開構成によって異なります。たとえば、新しい Active Directory フォレストをインストールする場合は、フォレスト内で最初のドメイン コントローラーとなるサーバーのローカルの Administrators グループのメンバーであれば十分です。しかし、新しいドメインを既存のフォレストに追加する場合や、ドメインを削除する場合は、追加や削除を行うドメインの親ドメインにある Enterprise Admins グループまたは Domain Admins グループのメンバーである必要があります。Active Directory ドメイン サービスのインストール ウィザードでは、入力した資格情報が、指定した展開構成を実装するのに十分なものかどうかがチェックされます。
それぞれの展開構成で必要となるネットワーク資格情報を次の表に示します。
 | 注 |
|
既存の Active Directory 環境を、Windows Server 2008 R2 を実行しているドメイン コントローラー用に準備する場合は、Adprep.exe を実行する必要があります。Adprep.exe は Windows Server 2008 R2 のインストール メディアの support\adprep フォルダーに収録されています。Adprep の実行には、次の表に記載されていない追加の資格情報が必要になる場合があります。 |
| 展開構成 | 必要な資格情報 |
|---|---|
|
新しいフォレストを追加する |
AD DS をインストールするサーバーの Local Administrators グループ |
|
子ドメインを追加する |
Enterprise Admins セキュリティ設定によっては、Domain Admins でもドメインの追加が許可される場合があります。 ドメイン ネーム システム (DNS) 委任を作成するには、親ドメイン内で Domain Admins の資格情報も必要になります。 |
|
新しいドメイン ツリーを追加する |
Enterprise Admins セキュリティ設定によっては、Domain Admins でもドメイン ツリーの追加が許可される場合があります。 |
|
ドメイン コントローラーをドメインに追加する |
Enterprise Admins または Domain Admins |
|
読み取り専用ドメイン コントローラー (RODC) を通常のインストールで追加する |
Enterprise Admins または Domain Admins adprep /rodcprep の実行には Enterprise Admins の資格情報が必要です。 |
|
RODC を段階的インストールで追加する |
Enterprise Admins または Domain Admins (RODC アカウントの作成時) Domain Admins または委任されたアクセス許可 (サーバーの RODC アカウントへの接続時) adprep /rodcprep の実行には Enterprise Admins の資格情報が必要です。 |
|
追加のドメイン コントローラーをドメインから削除する |
Enterprise Admins または Domain Admins |
|
RODC を削除する |
委任された RODC 管理者、Enterprise Admins、または Domain Admins |
|
ドメインを削除する |
Enterprise Admins セキュリティ設定によっては、Domain Admins でもドメインの削除が許可される場合がありますが、親の DNS ドメインで作成された DNS 委任の削除はできない場合があります。 |
|
フォレストを削除する |
Enterprise Admins |