次の方法で共有


コマンド ラインからのアカウントの管理方法

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

コマンド ライン インターフェイスから Manage Site Accounts ツール (MSAC.exe) を使用して、ユーザーが定義した Microsoft System Center Configuration Manager 2007 サイトの Windows アカウントを迅速かつ簡単に作成、変更、検証、削除、および一覧表示することができます。

注意

このバージョンの Manage Site Accounts ツールは、Configuration Manager 2007 サイトでのみ使用することができます。SMS 2003 サイトのアカウントを管理する場合は、SMS 2003 バージョンのツールを使用する必要があります。SMS 2003 Manage Site Accounts ツールでクライアント プッシュ インストール アカウントを変更することはできません。SMS 2003 セカンダリ サイトのこのアカウントを変更するためのサポートされている方法はありません。

ほとんどのアカウントの種類で使用できるのは 1 つのアカウントだけなので、アカウントの種類には変更は可能でも追加はできないものがあります。クライアント プッシュ インストール アカウントは必要なだけ追加できますが、ネットワーク アクセス アカウントをさらに追加しても既存のアカウントが置き換えられるだけです。

すべてのアカウントの一覧は、セキュリティの監査で役に立ちます。

管理可能なアカウントの一覧

次のアカウントは、Manage Site Accounts ツールで管理できます。

アカウント名 [操作]

クライアント プッシュ インストール アカウント [ClientPushAccount]

追加、変更*、削除、検証、一覧表示

ネットワーク アクセス アカウント [NetworkAccessAccount]

変更、削除、検証、一覧表示

サイト アドレス アカウント [SiteAddressAccount}

変更、検証、一覧表示

正常性状態の参照のクエリ アカウント [SHVToADReaderAccount]

変更、検証、一覧表示

正常性状態の参照の公開アカウント [SHVToADWriterAccount]

変更、検証、一覧表示

ソフトウェアの更新ポイントのプロキシ サーバー アカウント

[SoftwareUpdatePointProxyServerAccount]

変更、検証、一覧表示

注意

ツールでは、ソフトウェアの更新ポイントがサイト サーバー上にインストールされている場合にのみ、ソフトウェアの更新ポイントのプロキシ サーバー アカウントを管理できます。

* -Set コマンドでクライアント プッシュ インストール アカウントのパスワードを実際に変更することはできません。クライアント プッシュ インストール アカウントを変更するには、-Delete オプションを使用してアカウントを削除してから、-Add オプションを使用してアカウントを作成します。

注意

コマンド ラインのヘルプではサイト システムのインストール アカウント [SiteSystemInstallationAccount] を管理できることが示されますが、このアカウントは機能しません。

Manage Site Accounts ツールの構文

Manage Site Accounts ツール (Msac.exe) には、次のコマンド ライン構文とコマンド ライン パラメータがあり、Configuration Manager 2007 で使用されるすべての Windows アカウントを管理するのに使用できます。

msac.exe -[ ADD | SET | DELETE | VERIFY | LIST | ? ] [arguments]
コマンド ライン パラメータ 説明

-ADD

指定したサーバーにアカウントを追加します。

-SET

既存のアカウントを新しいアカウントに変更します。

-DELETE

指定したサーバーのアカウントを削除します。

-VERIFY

指定したサーバーのアカウントを検証します。

-LIST

すべてまたは指定したアカウントカテゴリについて、既存アカウントの一覧を画面またはファイルに出力します。

?

コマンドラインのヘルプを表示します。

新しいユーザーを追加する

次のコマンド ライン構文およびパラメータを使用して、新しいアカウントを作成します。

重要

Manage Site Accounts ツールでは、Configuration Manager 2007 コンソールでアカウントが構成されますが、実際に Active Directory ドメイン サービスにアカウントが作成されることはありません。そのため、ドメインにアカウントを作成してパスワードを設定する必要があります。

msac.exe -ADD <server> <Domain\account> <accountCategory>
             [ -S <SiteCode1> [, <SiteCode2> [ ... ] ] ]
             [ -PA <Password | -G]
             [ -R ] [ -I ] [ -T ] [ -V ] [ -P ] [ -? ] [ /? ]
コマンド ライン パラメータ 説明

<サーバー>

サイト サーバーの名前を示します。

<ドメイン\アカウント>

使用するドメインと追加するアカウントを示します。一度に追加できるアカウントは 1 つのみです。

-P パラメータを指定していない場合は、このプロパティでは <ドメイン\アカウント> の形式を使用する必要があります。-P を使用する場合は、アカウント名のみを指定します。

<アカウント カテゴリ>

新しいアカウントが属するアカウント カテゴリを示します。

このプロパティで使用できるのは次の値のみです。

ClientPushAccount (クライアント プッシュ インストール アカウント)

管理ポイント データベース接続アカウントなど、サイト システム上で使用されるアカウントは構成できません。

-S

現在のサイトを使用していない場合は、処理するサイト コードを示します。

たとえば、子サイトのサイト コードなどです。

-PA

新しいユーザー アカウント用のパスワードを指定します。

強力なパスワードの自動作成を指定する場合は、このパラメータを使用しないでください。代わりに、-G パラメータを使用します。

-G

新しいユーザー アカウントに対して強力なパスワードを指定します。

このパラメータを指定すると、強力なアルゴリズムを使用して強力なパスワードが自動的に生成されます。

重要

Manage Site Accounts ツールでは、強力なパスワードが生成され、Configuration Manager 2007 コンソールでアカウント用に構成されますが、実際には Active Directory ドメイン サービスにパスワードは設定されません。生成されたパスワードを使用するようにドメイン アカウントを構成するまで、アカウントは正常に動作しません。Active Directory にアカウントを構成するためにコンソール出力からパスワードを転送するときは、パスワードを保護してください。

-R

<サーバー> として指定されたサイト サーバーに属するすべての子サイトに新しいアカウントを追加します。

注意

既知の問題のため、G R の組み合わせではすべての子サイトに対して同じ強力なパスワードが正しく生成されるわけではありません。対応策 :すべての子サイトに対して強力なパスワードを生成する必要がある場合は、親サイトで MSAC -add -G を使用し、作成された強力なパスワードを書き留めて、MSAC -add -PA <強力なパスワード> -G を使用してその同じパスワードを階層全体に構成します。

-I

アカウントを子サイトに追加しているときに発生したエラーをすべて無視し、アカウントの追加処理を続行する場合に指定します。

このパラメータを使用しても、無視されたエラーをコンソール出力に表示できます。

-T

要求した変更を、システムに実際に影響を与えないように、テスト モードで実行する必要があることを指定します。

-V

新しいアカウントの作成の詳細を示すログを、コンソールに出力として表示する場合に指定します。

-P

新しいアカウントが既存のアカウントのドメインを使用する場合に指定します。

一部のアカウントの種類は、複数のドメインで使用されている可能性がありますが、各ドメインで同じ名前と同じパスワードを使用してください。このようなアカウントで更新が必要な場合は、アカウントの各コピーが、同一の新しいパスワードで変更および更新されます。このため、-P パラメータを使用すると、このツールによってドメイン名が確認された後に再利用されるので、ユーザーが指定する必要はありません。

-? または /?

コマンド ラインのヘルプおよび使用法が表示されます。

アカウントを変更する

次のコマンド ライン構文およびパラメータを使用して、現在のアカウントを新しいアカウントに変更します。

重要

Manage Site Accounts ツールでは、Configuration Manager 2007 コンソールでアカウントが構成されますが、実際に Active Directory ドメイン サービスにアカウントが作成されることはありません。そのため、ドメインにアカウントを作成してパスワードを設定する必要があります。

msac.exe -SET <server> <Domain\account> <Domain\Newaccount | ComputerAccount> <AccountCategory>
             [ <AddressType> <Destination> ] [ -PA <password> | -G ]
             [ -S <SiteCode1> [, <SiteCode2> [ ... ] ] ]
             [ -R ] [ -I ] [ -T ]
             [ -V ] [ -P ] [ -? ] [ /? ]
コマンド ライン パラメータ 説明

<サーバー>

サイト サーバーの名前を示します。

<ドメイン\アカウント>

使用するドメインと変更するユーザー アカウントを示します。

-P パラメータを指定していない場合は、このプロパティでは <ドメイン\アカウント> の形式を使用する必要があります。-P を使用する場合は、アカウント名のみを指定します。

<ドメイン\新しいアカウント>

既存のアカウントを置き換える新しいユーザー アカウントを指定します。

SiteAddressAccount には、<ドメイン\新しいアカウント> の代わりに ComputerAccount を使用できます。

<アカウント カテゴリ>

変更されたアカウントが属するアカウント カテゴリを示します。

  • 有効な値 :NetworkAccessAccount (ネットワーク アクセス アカウント)

  • SiteAddressAccount (サイト アドレス アカウント)

  • SHVToADReaderAccount (正常性状態の参照のクエリ アカウント)

  • SHVToADWriterAccount (正常性状態の参照の公開アカウント)

  • SoftwareUpdatePointProxyServerAccount (ソフトウェアの更新ポイントのプロキシ サーバー アカウント)

    注意

    -Set コマンドでクライアント プッシュ インストール アカウントのパスワードを実際に変更することはできません。クライアント プッシュ インストール アカウントを変更するには、-Delete オプションを使用してアカウントを削除してから、-Add オプションを使用してアカウントを作成します。

<[アドレスの種類]>

変更するセンダ アドレス アカウントのアドレスの種類を示します。

このプロパティで使用できる値は次のとおりです。

MS_LAN。

MS_X25_RAS。

MS_ISDN_RAS。

MS_ASYNC_RAS。

MS_SNA_RAS。

SiteAddressAccount カテゴリでは、アドレスの種類のプロパティは必須です。

ComputerAccount

センダ アドレス アカウント (サイト アドレス アカウント) をサイト システムのコンピュータ アカウントで置き換えます。ComputerAccount パラメータは、SET パラメータおよび SiteAddressAccount カテゴリと組み合わせる場合にのみ使用します。このパラメータは、<ドメイン/新規ユーザー> の代わりに使用します。

<[保存先]>

変更されたアカウントの接続先のサイト コードを示します。

-PA

変更されたユーザー アカウントのパスワードを指定します。

強力なパスワードの自動作成を指定する場合は、このパラメータを使用しないでください。代わりに、-G パラメータを使用します。

-G

変更されたアカウントに対して強力なパスワードを指定します。

このパラメータを指定すると、強力なアルゴリズムを使用して強力なパスワードが自動的に生成されます。

重要

Manage Site Accounts ツールでは、強力なパスワードが生成され、Configuration Manager 2007 コンソールでアカウント用に構成されますが、実際には Active Directory ドメイン サービスにパスワードは設定されません。生成されたパスワードを使用するようにドメイン アカウントを構成するまで、アカウントは正常に動作しません。Active Directory にアカウントを構成するためにコンソール出力からパスワードを転送するときは、パスワードを保護します。

-S

現在のサイトを使用していない場合は、処理するサイト コードを示します。

たとえば、子サイトのサイト コードなどです。

-R

<サーバー> として指定されたサイト サーバーに属するすべての子サイトに変更されたアカウントを追加します。

注意

既知の問題のため、G R の組み合わせではすべての子サイトに対して同じ強力なパスワードが正しく生成されるわけではありません。対応策 :すべての子サイトに対して強力なパスワードを生成する必要がある場合は、親サイトで MSAC -set -G を使用し、作成された強力なパスワードを書き留めて、MSAC -set -PA <強力なパスワード> -G を使用して同じパスワードを階層全体に構成します。

-I

変更されたアカウントを子サイトに追加しているときに発生したエラーをすべて無視し、アカウントの追加処理を続行する場合に指定します。

このパラメータを使用しても、無視されたエラーはコンソール出力で確認できます。

-T

要求した変更を、システムに実際に影響を与えないように、テスト モードで実行する必要があることを指定します。

-V

アカウントの変更の詳細を示すログを、コンソールに出力として表示する場合に指定します。

-P

このパラメータを使用して、変更されたアカウントが既存のアカウントのドメインを使用することを指定します。

一部のアカウントの種類は、複数のドメインで使用され、各ドメインで同じ名前と同じパスワードを使用していることがあります。このようなアカウントで更新が必要な場合は、アカウントの各コピーが、同一の新しいパスワードで変更および更新されます。このため、-P パラメータを使用すると、このツールによってドメイン名が確認された後に再利用されるので、毎回ユーザーが指定する必要はありません。

-? または /?

コマンド ラインのヘルプおよび使用法が表示されます。

アカウントを削除する

次のコマンド ライン構文およびパラメータを使用して、既存のアカウントを削除します。

msac.exe -DELETE <サーバー> <ドメイン\アカウント> <アカウント カテゴリ>

[ -S <サイト コード 1> [, <サイト コード 2> [ ... ] ] ]

[ -R ] [ -I ] [ -T ]

[ -V ] [ -P ] [ -? ] [ /? ]

コマンド ライン パラメータ 説明

<サーバー>

サイト サーバーの名前を示します。

<ドメイン\アカウント>

使用するドメインと削除するアカウントを示します。

-P パラメータを指定していない場合は、このプロパティでは <ドメイン\アカウント> の形式を使用する必要があります。-P を使用する場合は、アカウント名のみを指定します。

<アカウント カテゴリ>

削除するアカウントが属しているアカウント カテゴリを示します。

このプロパティで使用できる値は次のとおりです。

  • NetworkAccessAccount (ネットワーク アクセス アカウント)

  • ClientPushAccount (クライアント プッシュ インストール アカウント)

-S

現在のサイトを使用していない場合は、処理するサイト コードを示します。

たとえば、これはアカウントが属している子サイトのサイト コードの場合があります。

-R

<サーバー> として指定されたサイト サーバーに属するすべての子サイトからアカウントを削除します。

-I

アカウントを子サイトから削除しているときに発生したエラーをすべて無視し、アカウントの削除処理を続行する場合に指定します。

このパラメータを使用しても、無視されたエラーをコンソール出力に表示できます。

-T

要求した変更を、システムに実際に影響を与えないように、テスト モードで実行する必要があることを指定します。

-V

アカウントの削除の詳細を示すログを、コンソールに出力として表示する場合に指定します。

-P

削除するアカウントが既存のアカウントのドメインを使用する場合に指定します。

一部のアカウントの種類は、複数のドメインで使用され、各ドメインで同じ名前と同じパスワードを使用していることがあります。このようなアカウントで更新が必要な場合は、アカウントの各コピーが、同一の新しいパスワードで変更および更新されます。このため、-P パラメータを使用すると、このツールによってドメイン名が確認された後に再利用されるので、毎回ユーザーが指定する必要はありません。

-?

コマンド ラインのヘルプおよび使用法が表示されます。

アカウントを検証する

次のコマンド ライン構文およびパラメータを使用して、既存のアカウントを検証します。

msac.exe -VERIFY <server> <Domain\account> <AccountCategory>

[ <AddressType> <Destination> ]

[ -S <SiteCode1> [, <SiteCode2> [ ... ] ] ]

[ -R ] [ -I ]

[ -V ] [ -P ] [ -? ] [ /? ]

コマンド ライン パラメータ 説明

<サーバー>

サイト サーバーの名前を示します。

<ドメイン\アカウント>

使用するドメインと検証するアカウントを示します。

-P パラメータを指定していない場合は、このプロパティでは <ドメイン\アカウント> の形式を使用する必要があります。-P を使用する場合は、アカウント名のみを指定します。

<アカウント カテゴリ>

検証するアカウントが属しているアカウント カテゴリを示します。

  • 有効な値 :NetworkAccessAccount (ネットワーク アクセス アカウント)

  • ClientPushAccount (クライアント プッシュ インストール アカウント)

  • SiteAddressAccount (サイト アドレス アカウント)

  • SHVToADReaderAccount (正常性状態の参照のクエリ アカウント)

  • SHVToADWriterAccount (正常性状態の参照の公開アカウント)

  • SoftwareUpdatePointProxyServerAccount (ソフトウェアの更新ポイントのプロキシ サーバー アカウント)

  • 注 :セカンダリ サイトには、正常性状態の参照のクエリ アカウントと正常性状態の参照の公開アカウントはありません。これらのアカウントはプライマリ サイトでのみ検証できます。

<[アドレスの種類]>

検証するアカウントのアドレスの種類を示します。

このプロパティで使用できる値は次のとおりです。

MS_LAN。

MS_X25_RAS。

MS_ISDN_RAS。

MS_ASYNC_RAS。

MS_SNA_RAS。

SiteAddressAccount カテゴリでは、アドレスの種類のプロパティは必須です。

<[保存先]>

検証するアカウントの接続先のサイト コードを示します。

-S

現在のサイトを使用していない場合は、処理するサイト コードを示します。

たとえば、これはアカウントが属している子サイトのサイト コードなどになります。

-R

<サーバー> として指定されたサイト サーバーに属するすべての子サイトのアカウントを検証します。

-I

子サイトでアカウントを検証しているときに発生したエラーをすべて無視し、アカウント検証処理を続行する場合に指定します。

このパラメータを使用しても、無視されたエラーをコンソール出力に表示できます。

-V

アカウントの検証の詳細を示すログを、コンソールに出力として表示する場合に指定します。

-P

検証するアカウントが既存のアカウントのドメインを使用する場合に指定します。

一部のアカウントの種類は、複数のドメインで使用され、各ドメインで同じ名前と同じパスワードを使用していることがあります。このようなアカウントで更新が必要な場合は、アカウントの各コピーが、同一の新しいパスワードで変更および更新されます。このため、-P パラメータを使用すると、このツールによってドメイン名が確認された後に再利用されるので、毎回ユーザーが指定する必要はありません。

-? または /?

コマンド ラインのヘルプおよび使用法が表示されます。

アカウントを一覧表示する

次のコマンド ライン構文およびパラメータを使用して、既存のアカウントを一覧表示します。

msac.exe -LIST <server> <AccountCategory>
             [ -S <SiteCode1> [, <SiteCode2> [ ... ] ] ]
             [ -R ]
             [-FILE <path and filename>] [ ? ] [ /? ]
コマンド ライン パラメータ 説明

<サーバー>

サイト サーバーの名前を示します。

<アカウント カテゴリ>

一覧表示するアカウントが属しているアカウント カテゴリを示します。

すべてのアカウント カテゴリを一覧表示するには、AllAccount カテゴリを使用します。

有効な値 :

  • NetworkAccessAccount (ネットワーク アクセス アカウント)

  • ClientPushAccount (クライアント プッシュ インストール アカウント)

  • SiteAddressAccount (サイト アドレス アカウント)

  • SHVToADReaderAccount (正常性状態の参照のクエリ アカウント)

  • SHVToADWriterAccount (正常性状態の参照の公開アカウント)

  • SoftwareUpdatePointProxyServerAccount (ソフトウェアの更新ポイントのプロキシ サーバー アカウント)

  • AllAccount (すべてのアカウントを一覧表示する)

-S

現在のサイトを使用していない場合は、処理するサイト コードを示します。

たとえば、子サイトのサイト コードなどです。

-R

すべての子サイトについてアカウントの詳細を一覧表示します。

-FILE

LIST パラメータの出力としてファイルを指定します。このパラメータを使用する場合、完全な出力パスとファイル名が必要です。

-? または /?

コマンド ラインのヘルプおよび使用法が表示されます。

参照:

その他のリソース

Configuration Manager のアカウントとグループ
Configuration Manager 2007 アカウントの構成方法

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.