Introduction to Active Directory Administrative Center Enhancements (Level 100)
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
Windows Server の Active Directory 管理センターには、次の管理機能が含まれています。
Active Directory のごみ箱
Active Directory ドメイン サービス (AD DS) や Active Directory ライトウェイト ディレクトリ サービス (AD LDS) のユーザーが、Active Directory オブジェクトを誤って削除してしまうことはよくあります。 Windows Server 2008 R2 よりも前のバージョンの Windows Server では、誤って削除してしまった Active Directory のオブジェクトを回復することができましたが、このソリューションには欠点がありました。
Windows Server 2008 では、Windows Server バックアップ機能と ntdsutil の権限ある回復コマンドを使ってオブジェクトを Authoritative とマークし、復元されたデータをドメイン全体に確実にレプリケートできました。 権限ある回復ソリューションの欠点は、これをディレクトリ サービス復元モード (DSRM) で実行しなければならなかったことです。 DSRM では、復元するドメイン コントローラーはオフラインのままにしておく必要があったので、 クライアント要求を処理できませんでした。
Windows Server 2003 の Active Directory および Windows Server 2008 の AD DS では、廃棄済みオブジェクト (Tombstone) を復元することで、削除された Active Directory オブジェクトを回復できました。 ただし、物理的に削除された復元オブジェクトのリンクされた値属性 (ユーザー アカウントのグループ メンバーシップなど)、および消去されたリンクされていない値属性は、回復されませんでした。 そのため、管理者は、誤ったオブジェクトの削除に対する最終的な解決策として、廃棄済みオブジェクト (Tombstone) に頼ることができませんでした。 廃棄済みオブジェクト (Tombstone) の復元の詳細については、「 Active Directory の廃棄済みオブジェクトを復元する」を参照してください。
Windows Server 2008 R2 から導入された Active Directory のごみ箱は、既存の廃棄済みオブジェクト (Tombstone) の復元インフラストラクチャを基にして作られており、誤って削除された Active Directory オブジェクトを保存して回復する機能が強化されています。
Active Directory のごみ箱を有効にすると、削除された Active Directory オブジェクトのリンクされた値属性とリンクされていない値属性がすべて保持されます。このようなオブジェクトは、削除される直前と同じ、論理的に一貫性が保たれている状態に完全な形で復元されます。 たとえば、復元されたユーザー アカウントは、削除される直前に保持していた所属するドメイン内外のすべてのグループ メンバーシップと、それに対応するアクセス権を自動的に回復します。 Active Directory のごみ箱は、AD DS 環境でも AD LDS 環境でも動作します。 Active Directory のごみ箱の詳細については、「 AD DS の新機能: Active Directory のごみ箱」を参照してください。
新機能 Windows Server 2012 以降の Active Directory のごみ箱機能は、削除されたオブジェクトの管理と復元のための新しいグラフィカル ユーザー インターフェイスで強化されます。 ユーザーは削除されたオブジェクトの一覧を視覚的に探して、オブジェクトを元の場所または望む場所に復元できます。
Windows Server で Active Directory のごみ箱を有効にする場合は、次の点を考慮してください。
Active Directory のごみ箱は既定で無効になっています。 有効にするには、最初に AD DS または AD LDS 環境のフォレストの機能レベルを Windows Server 2008 R2 またはそれ以降に昇格する必要があります。 これには、フォレストのすべてのドメイン コントローラー、または AD LDS 構成セットのインスタンスをホストするすべてのサーバーで、Windows Server 2008 R2 以上を実行する必要があります。
Active Directory のごみ箱を有効にするプロセスは元に戻すことができません。 使用している環境で Active Directory のごみ箱を有効にした後で、そのごみ箱を無効にすることはできません。
ごみ箱の機能をユーザー インターフェイスから管理するには、Windows Server 2012 の Active Directory 管理センターのバージョンをインストールする必要があります。
注意
ごみ箱をユーザー インターフェイスから管理するための正しいバージョンの Active Directory 管理センターを使用するために、サーバー マネージャーを使用してリモート サーバー管理ツール (RSAT) をインストールできます。
RSAT のインストールについては、記事「リモート サーバー管理ツール」を参照してください。
Active Directory のごみ箱の手順
次の手順では、ADAC を使用して、Windows Server 2012 で、次の Active Directory のごみ箱のタスクを実行します。
注意
以下の手順を実行するには、Enterprise Admins グループのメンバーシップ、またはそれと同等のアクセス許可が必要です。
手順 1:フォレストの機能レベルを上げる
この手順では、フォレストの機能レベルを上げます。 Active Directory のごみ箱を有効にする前に、ターゲット フォレストの機能レベルを Windows Server 2008 R2 以上に昇格する必要があります。
ターゲット フォレストの機能レベルを上げるには
Windows PowerShell アイコンを右クリックして、クリックして 管理者として実行 と種類 dsac.exe ADAC を開きます。
[管理]、[ナビゲーション ノードの追加] の順にクリックし、[ナビゲーション ノードの追加] ダイアログ ボックスで適切なターゲット ドメインを選択して [OK] をクリックします。
左側のナビゲーション ウィンドウでターゲット ドメインをクリックし、[タスク] ウィンドウの [フォレストの機能レベルの昇格] をクリックします。 Windows Server 2008 R2 以上のフォレストの機能レベルを選択し、[OK] をクリックします。
Windows PowerShell の同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
Set-ADForestMode -Identity contoso.com -ForestMode Windows2008R2Forest -Confirm:$false
-Identity 引数には、完全修飾 DNS ドメイン名を指定します。
手順 2:ごみ箱の有効化
この手順では、削除された AD DS のオブジェクトを復元するためにごみ箱を有効にします。
ADAC でターゲット ドメインの Active Directory のごみ箱を有効にするには
Windows PowerShell アイコンを右クリックして、クリックして 管理者として実行 と種類 dsac.exe ADAC を開きます。
[管理]、[ナビゲーション ノードの追加] の順にクリックし、[ナビゲーション ノードの追加] ダイアログ ボックスで適切なターゲット ドメインを選択して [OK] をクリックします。
[タスク] ウィンドウで、[タスク] ウィンドウの [ごみ箱の有効化] をクリックし、警告メッセージ ボックスで [OK] をクリックしてから [OK] をクリックすると、ADAC の更新メッセージが表示されます。
F5 キーを押して ADAC を更新します。
Windows PowerShell の同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
エラーが発生した場合は、スキーマ マスターとドメイン名前付けマスターの両方のロールを、ルート ドメイン内の同じドメイン コントローラーに移動してみることができます。 その後、そのドメイン コントローラーからコマンドレットを実行します。
Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com' -Scope ForestOrConfigurationSet -Target 'contoso.com'
手順 3:テスト用のユーザー、グループ、組織単位を作成する
この手順では、テスト ユーザーを 2 つ作成します。 その後テスト グループを作成し、テスト ユーザーをこのグループに追加します。 さらに OU を作成します。
テスト ユーザーを作成するには
Windows PowerShell アイコンを右クリックして、クリックして 管理者として実行 と種類 dsac.exe ADAC を開きます。
[管理]、[ナビゲーション ノードの追加] の順にクリックし、[ナビゲーション ノードの追加] ダイアログ ボックスで適切なターゲット ドメインを選択して [OK] をクリックします。
[タスク] ウィンドウの [新規] をクリックし、[ユーザー] をクリックします。
[アカウント] に次の情報を入力して [OK] をクリックします。
- フル ネーム: test1
- ユーザー SAM アカウント名ログオン: test1
- パスワード: p@ssword1
- パスワードの確認入力: p@ssword1
前の手順を繰り返して 2 つ目のユーザー test2 を作成します。
テスト グループを作成してユーザーをグループに追加するには
Windows PowerShell アイコンを右クリックして、クリックして 管理者として実行 と種類 dsac.exe ADAC を開きます。
[管理]、[ナビゲーション ノードの追加] の順にクリックし、[ナビゲーション ノードの追加] ダイアログ ボックスで適切なターゲット ドメインを選択して [OK] をクリックします。
[タスク] ウィンドウの [新規] をクリックし、[グループ] をクリックします。
[グループ] に次の情報を入力して [OK] をクリックします。
- グループ名: group1
[group1] をクリックし、[タスク] ウィンドウの [プロパティ] をクリックします。
[メンバー]、[追加] の順にクリックし、「test1;test2」と入力して、[OK] をクリックします。
Windows PowerShell の同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
Add-ADGroupMember -Identity group1 -Member test1
組織単位を作成するには
Windows PowerShell アイコンを右クリックして、クリックして 管理者として実行 と種類 dsac.exe ADAC を開きます。
[管理]、[ナビゲーション ノードの追加] の順にクリックし、[ナビゲーション ノードの追加] ダイアログ ボックスで適切なターゲット ドメインを選択して [OK] をクリックします。
[タスク] ウィンドウの [新規] をクリックし、[組織単位] をクリックします。
[組織単位] に次の情報を入力して [OK] をクリックします。
- NameOU1
Windows PowerShell の同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
1..2 | ForEach-Object {New-ADUser -SamAccountName test$_ -Name "test$_" -Path "DC=fabrikam,DC=com" -AccountPassword (ConvertTo-SecureString -AsPlainText "p@ssword1" -Force) -Enabled $true}
New-ADGroup -Name "group1" -SamAccountName group1 -GroupCategory Security -GroupScope Global -DisplayName "group1"
New-ADOrganizationalUnit -Name OU1 -Path "DC=fabrikam,DC=com"
手順 4:削除されたオブジェクトを復元する
この手順では、削除されたオブジェクトを [Deleted Objects] コンテナーから元の場所および別の場所に復元します。
削除されたオブジェクトを元の場所に復元するには
Windows PowerShell アイコンを右クリックして、クリックして 管理者として実行 と種類 dsac.exe ADAC を開きます。
[管理]、[ナビゲーション ノードの追加] の順にクリックし、[ナビゲーション ノードの追加] ダイアログ ボックスで適切なターゲット ドメインを選択して [OK] をクリックします。
ユーザー [test1] および [test2] を選択し、[タスク] ウィンドウの [削除] をクリックし、[はい] をクリックして削除を確定します。
Windows PowerShell の同等のコマンド次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
Get-ADUser -Filter 'Name -Like "*test*"'|Remove-ADUser -Confirm:$false[Deleted Objects] コンテナーに移動し、[test2] および [test1] を選択し、[タスク] ウィンドウの [復元] をクリックします。
オブジェクトが元の場所に復元されたことを確認するために、ターゲット ドメインに移動してユーザー アカウントが表示されていることを確認します。
注意
ユーザー アカウント [test1] および [test2] の [プロパティ] に移動して [所属するグループ] をクリックすると、グループ メンバーシップも復元されていることを確認できます。
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
Windows PowerShell の同等のコマンド
Get-ADObject -Filter 'Name -Like "*test*"' -IncludeDeletedObjects | Restore-ADObject
削除されたオブジェクトを別の場所に復元するには
Windows PowerShell アイコンを右クリックして、クリックして 管理者として実行 と種類 dsac.exe ADAC を開きます。
[管理]、[ナビゲーション ノードの追加] の順にクリックし、[ナビゲーション ノードの追加] ダイアログ ボックスで適切なターゲット ドメインを選択して [OK] をクリックします。
ユーザー [test1] および [test2] を選択し、[タスク] ウィンドウの [削除] をクリックし、[はい] をクリックして削除を確定します。
[Deleted Objects] コンテナーに移動し、[test2] および [test1] を選択し、[タスク] ウィンドウの [復元先] をクリックします。
[OU1] を選択して [OK] をクリックします。
オブジェクトが [OU1] に復元されたことを確認するために、ターゲット ドメインに移動して [OU1] をダブルクリックし、ユーザー アカウントが表示されていることを確認します。
Windows PowerShell の同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
Get-ADObject -Filter 'Name -Like "*test*"' -IncludeDeletedObjects | Restore-ADObject -TargetPath "OU=OU1,DC=contoso,DC=com"
細かい設定が可能なパスワード ポリシー
Windows Server 2008 オペレーティング システムでは、ドメイン内の異なるユーザー グループに対して個別にパスワード ポリシーやアカウント ロックアウト ポリシーを定義する手段を提供しています。 Windows Server 2008 より前の Active Directory ドメインでは、ドメイン内のすべてのユーザーに対して 1 つのパスワード ポリシーおよびアカウント ロックアウト ポリシーしか適用できませんでした。 これらのポリシーは、Default Domain Policy の中でドメインに対して指定していました。 この結果、異なるユーザー グループに対して個別にパスワードやアカウント ロックアウトを設定したい組織では、パスワード フィルターを作成するか複数ドメインを採用する必要がありました。 どちらもコストがかかる選択肢です。
細かい設定が可能なパスワード ポリシーを使用すると、1 つのドメイン内に複数のパスワード ポリシーを指定したり、ドメイン内の異なるユーザー グループに対してパスワード ポリシーやアカウント ロックアウト ポリシーによる制限を個別に適用したりできます。 たとえば、特権アカウントにはより厳しい設定を適用し、他のユーザー アカウントにはあまり厳しくない設定を適用することができます。 別の例として、他のデータ ソースと同期するパスワードを持つアカウントには特別なパスワード ポリシーを適用することもできます。 細かい設定が可能なパスワード ポリシーの詳細については、「 AD DS: 細かい設定が可能なパスワード ポリシー」を参照してください。
新機能
Windows Server 2012 以降では、細かい設定が可能なパスワード ポリシーを AD DS 管理者が ADAC で管理するためのユーザー インターフェイスが提供されたため、細かい設定が可能なパスワード ポリシーの管理がより簡単で視覚的になりました。 管理者ようになりました指定されたユーザーのポリシーの結果を表示、表示し、指定されたドメイン内のすべてのパスワード ポリシーを並べ替えるして個々 のパスワード ポリシーを視覚的に管理します。
Windows Server 2012 で細かい設定が可能なパスワード ポリシーを使用する場合は、次の操作を考慮してください。
細かい設定が可能なパスワード ポリシーは、グローバル セキュリティ グループとユーザー オブジェクト (またはユーザー オブジェクトの代わりに使用されている場合は inetOrgPerson オブジェクト) のみに適用されます。 既定では、Domain Admins グループのメンバーのみが細かい設定が可能なパスワード ポリシーを設定できます。 ただし、このポリシーを設定する権限を他のユーザーに委任することもできます。 ドメインの機能レベルが Windows Server 2008 以上である必要があります。
Active Directory 管理センターの Windows Server 2012 以降のバージョンを使用して、グラフィカル ユーザー インターフェイスの詳かい設定が可能なパスワード ポリシーを管理する必要があります。
注意
ごみ箱をユーザー インターフェイスから管理するための正しいバージョンの Active Directory 管理センターを使用するために、サーバー マネージャーを使用してリモート サーバー管理ツール (RSAT) をインストールできます。
RSAT のインストールについては、記事「リモート サーバー管理ツール」を参照してください。
細かい設定が可能なパスワード ポリシーの手順
以下のステップでは、ADAC を使用して細かい設定が可能なパスワード ポリシーのタスクを実行します。
- 手順 1:ドメインの機能レベルを上げる
- 手順 2:テスト用のユーザー、グループ、組織単位を作成する
- 手順 3:新しい細かい設定が可能なパスワード ポリシーを作成する
- 手順 4:ユーザーのポリシーの結果セットを表示する
- 手順 5:細かい設定が可能なパスワード ポリシーを編集する
- 手順 6:細かい設定が可能なパスワード ポリシーを削除する
注意
以下の手順を実行するには、Domain Admins グループのメンバーシップ、またはそれと同等のアクセス許可が必要です。
手順 1:ドメインの機能レベルを上げる
次の手順では、ターゲット ドメインのドメインの機能レベルを Windows Server 2008 以上に昇格します。 詳かい設定が可能なパスワード ポリシーを有効にするには、Windows Server 2008 以降のドメイン機能レベルが必要です。
ドメインの機能レベルを上げるには
Windows PowerShell アイコンを右クリックして、クリックして 管理者として実行 と種類 dsac.exe ADAC を開きます。
[管理]、[ナビゲーション ノードの追加] の順にクリックし、[ナビゲーション ノードの追加] ダイアログ ボックスで適切なターゲット ドメインを選択して [OK] をクリックします。
左側のナビゲーション ウィンドウでターゲット ドメインをクリックし、[タスク] ウィンドウの [ドメインの機能レベルの昇格] をクリックします。 Windows Server 2008 以上のフォレストの機能レベルを選択し、[OK] をクリックします。
Windows PowerShell の同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
Set-ADDomainMode -Identity contoso.com -DomainMode 3
手順 2:テスト用のユーザー、グループ、組織単位を作成する
この手順に必要なテスト ユーザーとテスト グループを作成するには、「手順 3: テスト用のユーザー、グループ、組織単位を作成する」の手順に従います (細かい設定が可能なパスワード ポリシーを試すために組織単位を作成する必要はありません)。
手順 3:新しい細かい設定が可能なパスワード ポリシーを作成する
この手順では、ADAC の UI を使用して新しい細かい設定が可能なパスワード ポリシーを作成します。
新しい細かい設定が可能なパスワード ポリシーを作成するには
Windows PowerShell アイコンを右クリックして、クリックして 管理者として実行 と種類 dsac.exe ADAC を開きます。
[管理]、[ナビゲーション ノードの追加] の順にクリックし、[ナビゲーション ノードの追加] ダイアログ ボックスで適切なターゲット ドメインを選択して [OK] をクリックします。
ADAC のナビゲーション ウィンドウで、[System] コンテナーを展開して [Password Settings Container] をクリックします。
[タスク] ウィンドウの [新規作成] をクリックし、[パスワードの設定] をクリックします。
[プロパティ] ページ内のフィールドに入力するかまたは編集して、新しい [パスワードの設定] オブジェクトを作成します。 "名前" と "優先順位" フィールドが必要です。
[ 直接の適用先, 、] をクリックして 追加, 、型 group1, 、順にクリック OKします。
これによりパスワード ポリシー オブジェクトが、テスト環境用に作成したグローバル グループのメンバーに関連付けられます。
[OK] をクリックして作成を送信します。
Windows PowerShell の同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true -LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -LockoutThreshold:"0" -MaxPasswordAge:"42.00:00:00" -MinPasswordAge:"1.00:00:00" -MinPasswordLength:"7" -PasswordHistoryCount:"24" -Precedence:"1" -ReversibleEncryptionEnabled:$false -ProtectedFromAccidentalDeletion:$true
Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects group1
手順 4:ユーザーのポリシーの結果セットを表示する
この手順では、「手順 3: 新しい細かい設定が可能なパスワード ポリシーを作成する」でポリシーを割り当てたグループのメンバーであるユーザーの、結果のパスワード設定を表示します。
ユーザーのポリシーの結果セットを表示するには
Windows PowerShell アイコンを右クリックして、クリックして 管理者として実行 と種類 dsac.exe ADAC を開きます。
[管理]、[ナビゲーション ノードの追加] の順にクリックし、[ナビゲーション ノードの追加] ダイアログ ボックスで適切なターゲット ドメインを選択して [OK] をクリックします。
「手順 3: 新しい細かい設定が可能なパスワード ポリシーを作成する」でポリシーを関連付けたグループ [group1] に所属するユーザー [test1] を選択します。
[タスク] ウィンドウの [結果のパスワード設定の表示] をクリックします。
パスワード設定ポリシーを確認して [キャンセル] をクリックします。
Windows PowerShell の同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
Get-ADUserResultantPasswordPolicy test1
手順 5:細かい設定が可能なパスワード ポリシーを編集する
この手順では、「手順 3: 新しい細かい設定が可能なパスワード ポリシーを作成する」で作成した細かい設定が可能なパスワード ポリシーを編集します。
細かい設定が可能なパスワード ポリシーを編集するには
Windows PowerShell アイコンを右クリックして、クリックして 管理者として実行 と種類 dsac.exe ADAC を開きます。
[管理]、[ナビゲーション ノードの追加] の順にクリックし、[ナビゲーション ノードの追加] ダイアログ ボックスで適切なターゲット ドメインを選択して [OK] をクリックします。
ADAC の [ナビゲーション ウィンドウ] で、[System] を展開して [Password Settings Container] をクリックします。
「手順 3: 新しい細かい設定が可能なパスワード ポリシーを作成する」で作成した細かい設定が可能なパスワード ポリシーを選択し、[タスク] ウィンドウの [プロパティ] をクリックします。
[パスワードの履歴を記録する] の [記録するパスワードの数] の値を「30」に変更します。
[OK] をクリックします。
Windows PowerShell の同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
Set-ADFineGrainedPasswordPolicy TestPswd -PasswordHistoryCount:"30"
手順 6:細かい設定が可能なパスワード ポリシーを削除する
細かい設定が可能なパスワード ポリシーを削除するには
Windows PowerShell アイコンを右クリックして、クリックして 管理者として実行 と種類 dsac.exe ADAC を開きます。
[管理]、[ナビゲーション ノードの追加] の順にクリックし、[ナビゲーション ノードの追加] ダイアログ ボックスで適切なターゲット ドメインを選択して [OK] をクリックします。
ADAC の [ナビゲーション ウィンドウ] で、[System] を展開して [Password Settings Container] をクリックします。
「手順 3: 新しい細かい設定が可能なパスワード ポリシーを作成する」で作成した細かい設定が可能なパスワード ポリシーを選択し、[タスク] ウィンドウの [プロパティ] をクリックします。
[誤って削除されないように保護する] チェック ボックスをオフにして、[OK] をクリックします。
細かい設定が可能なパスワード ポリシーを選択し、[タスク] ウィンドウの [削除] をクリックします。
確認のダイアログで、[OK] をクリックします。
Windows PowerShell の同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
Set-ADFineGrainedPasswordPolicy -Identity TestPswd -ProtectedFromAccidentalDeletion $False
Remove-ADFineGrainedPasswordPolicy TestPswd -Confirm
Windows PowerShell 履歴ビューアー
ADAC は Windows PowerShell の上に構築されたユーザー インターフェイス ツールです。 Windows Server 2012 以降では、IT 管理者は ADAC と Windows PowerShell 履歴ビューアーを使用して、Active Directory の Windows PowerShell コマンドレットを学習できます。 ユーザー インターフェイスでアクションが実行されると、対応する Windows PowerShell コマンドが Windows PowerShell 履歴ビューアーに表示されます。 これにより、管理者は自動化されたスクリプトを作成でき、繰り返しのタスクを減らして IT 生産性を向上できます。 また、この機能は、Active Directory 用 Windows PowerShell の学習に時間が短縮され、自動化スクリプトが正しいかどうか、ユーザーの信頼性が向上します。
Windows Server 2012 以降で Windows PowerShell 履歴ビューアーを使用する場合は、次を考慮してください。
Windows PowerShell スクリプト ビューアーを使用するには、Windows Server 2012 以降のバージョンの ADAC を使用する必要があります。
注意
ごみ箱をユーザー インターフェイスから管理するための正しいバージョンの Active Directory 管理センターを使用するために、サーバー マネージャーを使用してリモート サーバー管理ツール (RSAT) をインストールできます。
RSAT のインストールについては、記事「リモート サーバー管理ツール」を参照してください。
Windows PowerShell についての基本的な理解があること。 たとえば、Windows PowerShell のパイプ処理についての知識が必要です。 Windows PowerShell のパイプ処理の詳細については、「 Piping and the Pipeline in Windows PowerShell (Windows PowerShell のパイプ処理とパイプライン)」を参照してください。
Windows PowerShell 履歴ビューアーの手順
この手順では、ADAC の Windows PowerShell 履歴ビューアーを使用して Windows PowerShell スクリプトを作成します。 この手順を始める前に、グループ [group1] からユーザー [test1] を削除してください。
PowerShell 履歴ビューアーを使用してスクリプトを作成するには
Windows PowerShell アイコンを右クリックして、クリックして 管理者として実行 と種類 dsac.exe ADAC を開きます。
[管理]、[ナビゲーション ノードの追加] の順にクリックし、[ナビゲーション ノードの追加] ダイアログ ボックスで適切なターゲット ドメインを選択して [OK] をクリックします。
ADAC 画面の下にある [Windows PowerShell 履歴] ウィンドウを広げます。
ユーザー [test1] を選択します。
クリックして グループに追加... で、 タスク ウィンドウです。
[group1] を選択し、ダイアログ ボックスで [OK] をクリックします。
[Windows PowerShell 履歴] ウィンドウに移動し、今生成されたコマンドを探します。
このコマンドをコピーし、スクリプトの作成に使用するエディターに貼り付けます。
このコマンドを変更して、たとえば別のユーザーを [group1] に追加したり、[test1] を別のグループに追加したりできます。
参照
Advanced AD DS Management Using Active Directory Administrative Center (Level 200)