Directory Service コマンド ライン ツールを使用して、サーバー 2003 で Active Directory オブジェクトWindows管理する

この記事では、Directory Service コマンド ライン ツールを使用して、サーバー 2003 で Active Directory の管理タスクを実行するWindows説明します。 次のタスクは、タスク グループに分けられます。

適用対象:  WindowsServer 2003
元の KB 番号:   322684

ユーザーを管理する方法

以下のセクションでは、グループを管理するための詳細な手順を示します。

新しいユーザー アカウントを作成する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く ] ボックス「cmd」と入力します

  3. コマンド プロンプトで、以下のコマンドを入力します。

    dsadd user userdn -samid sam_name
    

    このコマンドでは、次の値を使用します。

    • userdn は、追加するユーザー オブジェクトの識別名 (DN とも呼ばれる) を指定します。
    • sam_name、 このユーザーの一意の SAM アカウント名として使用されるセキュリティ アカウント マネージャー (SAM) 名 (Linda など) を指定します。
  4. ユーザー アカウントのパスワードを指定するには、次のコマンドを入力します。パスワードは、ユーザー アカウントに使用するパスワードです。

    dsadd user userdn -pwd password
    

注意

このコマンドの完全な構文を表示し、より多くのユーザー アカウント情報の入力に関する詳細を取得するには、コマンド プロンプトで dsadd user /? 「.

ユーザー パスワードのリセット

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く ] ボックス「cmd」と入力します

  3. コマンド プロンプトで、以下のコマンドを入力します。

    dsmod user user_dn -pwd new_password
    

    このコマンドでは、次の値を使用します。

    • user_dn パスワードをリセットするユーザーの識別名を指定します。
    • new_password 現在のユーザー パスワードを置き換えるパスワードを指定します。
  4. 次のログオン プロセスでユーザーにこのパスワードの変更を要求する場合は、次のコマンドを入力します。

    dsmod user user_dn -mustchpwd {yes|no}
    

パスワードが割り当てられていない場合、ユーザーが初めて (空白のパスワードを使用して) ログオンしようとすると、次のログオン メッセージが表示されます。

初回ログオン時にパスワードを変更する必要があります

ユーザーがパスワードを変更すると、ログオン プロセスが続行されます。

サービスのユーザー アカウントのパスワードが変更された場合は、ユーザー アカウントで認証されるサービスをリセットする必要があります。

注意

このコマンドの完全な構文を表示し、より多くのユーザー アカウント情報の入力に関する詳細を取得するには、コマンド プロンプトで dsmod user /? 「.

ユーザー アカウントを無効または有効にする

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く ] ボックス「cmd」と入力します

  3. コマンド プロンプトで、以下のコマンドを入力します。

    dsmod user user_dn -disabled {yes|no}
    

    このコマンドでは、次の値を使用します。

    • user_dn、 無効または有効にするユーザー オブジェクトの識別名を指定します。
    • {yes|no} は、ユーザー アカウントがログオンで無効になっている (はい) かどうかを指定します (いいえ)。

注意

セキュリティ対策として、そのユーザーのアカウントを削除する代わりに、ユーザー アカウントを無効にして、特定のユーザーがログオンを防止できます。 共通のグループ メンバーシップを持つユーザー アカウントを無効にした場合は、無効にしたユーザー アカウントをアカウント テンプレートとして使用して、ユーザー アカウントの作成を簡略化できます。

ユーザー アカウントを削除する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [開く ] ボックス「cmd」と入力します
  3. コマンド プロンプトで、コマンドを入力し、user_dnするユーザー オブジェクトの識別名 dsrm user_dn を指定します。

ユーザー アカウントを削除すると、そのユーザー アカウントに関連付けられているすべてのアクセス許可とメンバーシップが完全に削除されます。 各アカウントのセキュリティ識別子 (SID) は一意なので、以前に削除したユーザー アカウントと同じ名前の新しいユーザー アカウントを作成しても、新しいアカウントは以前に削除されたアカウントのアクセス許可とメンバーシップを自動的に引き受け取る必要があります。 削除されたユーザー アカウントを複製するには、すべてのアクセス許可とメンバーシップを手動で再作成する必要があります。

注意

このコマンドの完全な構文を表示し、より多くのユーザー アカウント情報の入力に関する詳細を取得するには、コマンド プロンプトで dsrm /? 「.

グループを管理する方法

以下のセクションでは、グループを管理するための詳細な手順を示します。

新しいグループを作成する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く ] ボックス「cmd」と入力します

  3. コマンド プロンプトで、以下のコマンドを入力します。

    dsadd group group_dn -samid sam_name -secgrp yes | no -scope l | g | u
    

    このコマンドでは、次の値を使用します。

    • group_dn 追加するグループ オブジェクトの識別名を指定します。
    • sam_name、 このグループの一意の SAM アカウント名である SAM 名 (演算子など) を指定します。
    • は|は 、追加するグループがセキュリティ グループ (はい) か配布グループ (いいえ) かを指定します。
    • l | g | u は、追加するグループの範囲を指定します (ドメイン ローカル [l]、グローバル [g]、またはユニバーサル [u])。

グループを作成するドメインが Windows 2000 混在のドメイン機能レベルに設定されている場合は、ドメイン ローカル スコープまたはグローバル スコープを持つセキュリティ グループのみを選択できます。

このコマンドの完全な構文を表示し、グループ情報の入力に関する詳細を取得するには、コマンド プロンプトで dsadd group /? 「.

グループにメンバーを追加する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く ] ボックス「cmd」と入力します

  3. コマンド プロンプトで、以下のコマンドを入力します。

    dsmod group group_dn -addmbr member_dn
    

    このコマンドでは、次の値を使用します。

    • group_dn 追加するグループ オブジェクトの識別名を指定します。
    • member_dn グループに追加するオブジェクトの識別名を指定します。

ユーザーとコンピューターに加えて、グループには連絡先や他のグループを含めできます。

このコマンドの完全な構文を表示し、より多くのユーザー アカウントとグループ情報を入力する方法の詳細を取得するには、コマンド プロンプトで dsmod group /? 「.

グループを別のグループの種類に変換する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く ] ボックス「cmd」と入力します

  3. コマンド プロンプトで、以下のコマンドを入力します。

    dsmod group group_dn -secgrp {yes|no}
    

    このコマンドでは、次の値を使用します。

    • group_dn グループの種類を変更するグループ オブジェクトの識別名を指定します。
    • {yes|no} は、グループの種類がセキュリティ グループ (はい) または配布グループ (いいえ) に設定されている場合に指定します。

グループを変換するには、ドメイン機能を 2000 Native 以上Windowsする必要があります。 ドメイン機能が 2000 Mixed に設定されている場合、Windows変換できません。

このコマンドの完全な構文を表示するには、コマンド プロンプトに dsmod group /? 「.

グループスコープの変更

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く ] ボックス「cmd」と入力します

  3. コマンド プロンプトで、以下のコマンドを入力します。

    dsmod group **group_dn** -scope l|g|u
    

    このコマンドでは、次の値を使用します。

    • group_dn スコープを変更するグループ オブジェクトの識別名を指定します。
    • l|g|u は、グループを (ローカル、グローバル、またはユニバーサル) に設定するスコープを指定します。 ドメインが 2000 を混在Windowsに設定されている場合、ユニバーサル スコープはサポートされません。 また、ドメイン ローカル グループをグローバル グループに変換したり、グローバル グループに変換したりすることはできません。

注意

グループ スコープを変更できるのは、ドメイン機能レベルが 2000 Windows以上に設定されている場合のみです。

グループを削除する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く ] ボックス「cmd」と入力します

  3. コマンド プロンプトで、コマンドを入力します dsrm group_dn

    この group_dn 削除するグループ オブジェクトの識別名を指定します。

注意

グループを削除すると、グループは完全に削除されます。

既定では、管理者やアカウントオペレーターなど、Windows Server 2003 を実行しているドメイン コントローラーで自動的に提供されるローカル グループは、Builtin フォルダーにあります。 既定では、ドメイン管理者やドメイン ユーザーなどの一般的なグローバル グループは Users フォルダーにあります。 新しいグループを任意のフォルダーに追加または移動できます。 組織単位フォルダーにグループを保持する必要があります。

このコマンドの完全な構文を表示するには、コマンド プロンプトに dsrm /? 「.

ユーザーがメンバーであるグループを検索する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く ] ボックス「cmd」と入力します

  3. コマンド プロンプトで、以下のコマンドを入力します。

    dsget user user_dn -memberof
    

    この user_dn グループ メンバーシップを表示するユーザー オブジェクトの識別名を指定します。

このコマンドの完全な構文を表示するには、コマンド プロンプトに dsget user /? 「.

コンピューターを管理する方法

以下のセクションでは、コンピューターを管理するための詳細な手順について説明します。

新しいコンピューター アカウントを作成する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く ] ボックス「cmd」と入力します

  3. コマンド プロンプトで、以下のコマンドを入力します。

    dsadd computer computer_dn
    

    この computer_dn 追加するコンピューターの識別名を指定します。 識別名は、フォルダーの場所を示します。

このコマンドの完全な構文を表示するには、コマンド プロンプトに dsadd computer /? 「.

コンピューター アカウントのプロパティを変更するには、dsmod computer コマンドを使用します。

グループにコンピューター アカウントを追加する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く ] ボックス「cmd」と入力します

  3. コマンド プロンプトで、以下のコマンドを入力します。

    dsmod group group_dn -addmbr computer_dn
    

    このコマンドでは、次の値を使用します。

    • group_dn コンピューター オブジェクトを追加するグループ オブジェクトの識別名を指定します。
    • computer_dn グループに追加するコンピューター オブジェクトの識別名を指定します。 識別名は、フォルダーの場所を示します。

コンピューターをグループに追加すると、そのグループ内のすべてのコンピューター アカウントにアクセス許可を割り当て、そのグループ内のすべてのアカウントでグループ ポリシー設定をフィルター処理できます。

このコマンドの完全な構文を表示するには、コマンド プロンプトに dsmod group /? 「.

コンピューター アカウントのリセット

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く ] ボックス「cmd」と入力します

  3. コマンド プロンプトで、以下のコマンドを入力します。

    dsmod computer computer_dn -reset
    

    この computer_dn、 リセットする 1 つ以上のコンピューター オブジェクトの識別名を指定します。

    注意

    コンピューター アカウントをリセットすると、コンピューターのドメインへの接続が壊れる。 コンピューター アカウントをリセットした後で、コンピューター アカウントをドメイン コンピューター アカウントに再参加する必要があります。

このコマンドの完全な構文を表示するには、コマンド プロンプトに「dsmod computer /? .

コンピューター アカウントを無効または有効にする

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く ] ボックス「cmd」と入力します

  3. コマンド プロンプトで、以下のコマンドを入力します。

    dsmod computer computer_dn -disabled {yes|no}
    

    このコマンドでは、次の値を使用します。

    • computer_dn または有効にするコンピューター オブジェクトの識別名を指定します。
    • {yes|no} は、コンピューターがログオンを無効にするかどうかを指定します (はい) かどうか (いいえ)。

コンピューター アカウントを無効にすると、ドメインとのコンピューターの接続が壊れ、コンピューターはドメインに対して認証できません。

このコマンドの完全な構文を表示するには、コマンド プロンプトに dsmod computer /? 「.

組織単位を管理する方法

以下のセクションでは、組織単位を管理するための詳細な手順を示します。

新しい組織単位の作成

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く ] ボックス「cmd」と入力します

  3. コマンド プロンプトで、以下のコマンドを入力します。

    dsadd ou organizational_unit_dn
    

    この organizational_unit_dn 追加する組織単位の識別名を指定します。

このコマンドの完全な構文を表示するには、コマンド プロンプトに dsadd ou /? 「.

注意

組織単位のプロパティを変更するには、コマンドを使用 dsmod ou します。

組織単位の削除

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く ] ボックス「cmd」と入力します

  3. コマンド プロンプトで、コマンドを入力します dsrm organizational_unit_dn

    この organizational_unit_dn 削除する組織単位の識別名を指定します。

このコマンドの完全な構文を表示するには、コマンド プロンプトに dsrm /? 「.

注意

組織単位を削除すると、その組織単位に含まれるすべてのオブジェクトが削除されます。

Active Directory を検索する方法

次のセクションでは、Active Directory を検索するための詳細な手順を示します。

ユーザー アカウントの検索

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く ] ボックス「cmd」と入力します

  3. コマンド プロンプトで、コマンドを入力します dsquery user parameter

    パラメーター 、使用するパラメーターを指定します。 パラメーターの一覧については、d コマンドのオンライン ヘルプを参照 squery user してください。

このコマンドの完全な構文を表示するには、コマンド プロンプトに dsquery user /? 「.

連絡先の検索

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く ] ボックス「cmd」と入力します

  3. コマンド プロンプトで、コマンドを入力します dsquery contact parameter

    パラメーター 、使用するパラメーターを指定します。 パラメーターの一覧については、dsquery ユーザー コマンドのオンライン ヘルプを参照してください。

グループを検索する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く ] ボックス「cmd」と入力します

  3. コマンド プロンプトで、コマンドを入力します dsquery group parameter

    パラメーター 、使用するパラメーターを指定します。 パラメーターの一覧については、dsquery ユーザー コマンドのオンライン ヘルプを参照してください。

既定では、管理者やアカウントオペレーターなど、Windows Server 2003 を実行しているドメイン コントローラーで自動的に提供されるローカル グループは、Builtin フォルダーにあります。 既定では、ドメイン管理者やドメイン ユーザーなどの一般的なグローバル グループは Users フォルダーにあります。 新しいグループを任意のフォルダーに追加または移動できます。 組織単位フォルダーにグループを保持する必要があります。

コンピューター アカウントの検索

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く ] ボックス「cmd」と入力します

  3. コマンド プロンプトで、コマンドを入力します dsquery computer -name name

    名前 、コマンドが検索するコンピューター名を指定します。 このコマンドは、名前属性 (CN 属性の値) が名前と一致するコンピューターを 検索します

このコマンドの完全な構文を表示するには、コマンド プロンプトに dsquery computer /? 「.

組織単位の検索

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く ] ボックス「cmd」と入力します

  3. コマンド プロンプトで、コマンドを入力します dsquery ou parameter

    パラメーター 、使用するパラメーターを指定します。 パラメーターの一覧については、オンライン ヘルプを参照してください dsquery ou

このコマンドの完全な構文を表示するには、コマンド プロンプトに dsquery ou /? 「.

ドメイン コントローラーの検索

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く ] ボックス「cmd」と入力します

  3. コマンド プロンプトで、コマンドを入力します dsquery server parameter

    パラメーター 、使用するパラメーターを指定します。 このコマンドを使用して検索できるサーバーのいくつかの属性があります。 パラメーターの一覧については、オンライン ヘルプを参照してください。 dsquery server.

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く ] ボックス「cmd」と入力します

  3. コマンド プロンプトで、コマンドを入力します dsquery * parameter

    パラメーター 、使用するパラメーターを指定します。 このコマンドを使用して検索できる属性は複数あります。 LDAP 検索の詳細については、「Windows Server 2003 リソース キット」を参照してください。

関連情報

Windows Server 2003 の Directory Services コマンド ライン ツールの詳細については、[スタート] ボタン、[ヘルプとサポートセンター] の順にクリックし、[検索] ボックスに「ディレクトリ サービス コマンド ライン ツール」と 入力 します。