PowerShell でユーザー アカウントを管理する
ユーザー管理は、管理者の中心的な職務です。 Windows PowerShell 用 Active Directory モジュールのコマンドレットを使用して、ユーザー アカウントを個別または一括で作成、変更、削除できます。 ユーザー アカウント コマンドレットには、名前の名詞部分に "User" または "Account" という単語があります。 使用可能なコマンドレットを識別するには、Get-Help または Get-Command を使用している場合にワイルドカード名の検索にコマンドレットを含めます。
次の表に、ユーザー アカウントを管理するための一般的なコマンドレットを示します。
表 1: ユーザー アカウント管理用のコマンドレット
| コマンドレット | 説明 |
|---|---|
| New-ADUser | ユーザー アカウントを作成します |
| Get-ADUser | ユーザー アカウントを取得します |
| Set-ADUser | ユーザー アカウントのプロパティを変更します |
| Remove-ADUser | ユーザー アカウントを削除します |
| Set-ADAccountPassword | ユーザー アカウントのパスワードをリセットします |
| Unlock-ADAccount | 不正なサインイン試行が許可された数を超えた後にロックされているユーザー アカウントのロックを解除します |
| Enable-ADAccount | ユーザー アカウントを有効にします |
| Disable-ADAccount | ユーザー アカウントを無効にします |
ユーザーの取得
Get-ADUser コマンドレットでは、取得するユーザーを特定する必要があります。 これを行うには、セキュリティ アカウント マネージャー (SAM) アカウント名や識別名など、いくつかのプロパティ値のいずれかを受け入れる -Identity パラメーターを使用します。
Get-ADUser を使用する場合にのみ、Windows PowerShell によりプロパティの既定のセットが返されます。 他のプロパティを確認するには、プロパティのコンマ区切りのリストまたは "*" のワイルドカードで -Properties パラメーターを使用する必要があります。
たとえば、コンソールで次のコマンドを入力し、Enter キーを押すと、SAM アカウント anabowman を持つユーザーの部署とメール アドレスと共に、プロパティの既定のセットを取得できます。
Get-ADUser -Identity anabowman -Properties Department,EmailAddress
ユーザーを指定するもう 1 つの方法は、-Filter パラメーターを使用することです。 -Filter パラメーターは、正規表現に基づくクエリを受け入れます。このコースの後半のモジュールで、より詳細に説明します。 たとえば、すべての AD DS ユーザーとそのプロパティを取得するには、コンソールで次のコマンドを入力し、Enter キーを押します。
Get-ADUser -Filter * -Properties *
注意
Get-ADUser のヘルプには、このコースの後半で学習する Windows PowerShell の機能を使用する例が含まれています。 たとえば、より高度な -Filter 操作には比較演算子が必要です。この演算子については、次のモジュールで学習します。
新しいユーザー アカウントを作成する
New‑ADUser コマンドレットを使用して新しいユーザー アカウントを作成する場合は、-Name パラメーターが必要です。 パスワードなど、他のほとんどのユーザー プロパティを設定することもできます。 新しいアカウントを作成するときは、次の点を考慮してください。
-
-AccountPassword パラメーターを使用しない場合、パスワードは設定されず、ユーザー アカウントが無効になります。 パスワードが設定されていない場合は、-Enabled パラメーターを
$trueに設定できません。 - -AccountPassword パラメーターを使用してパスワードを指定する場合は、パスワードを含む変数をセキュリティで保護された文字列として指定するか、コンソールからパスワードを入力することを選択する必要があります。 セキュリティで保護された文字列はメモリ内で暗号化されます。
- パスワードを設定した場合は、-Enabled パラメーターを
$trueに設定するとユーザー アカウントを有効にすることができます。
次の表に、New-ADUser コマンドレットの一般的なパラメーターを示します。
表 2: New-ADUser の一般的なパラメーター
| パラメーター | 説明 |
|---|---|
| ‑AccountExpirationDate | ユーザー アカウントの有効期限を定義します |
| ‑AccountPassword | ユーザー アカウントのパスワードを定義します |
| ‑ChangePasswordAtLogon | 次回のサインイン時にユーザー アカウントのパスワードを変更する必要があります |
| ‑Department | ユーザー アカウントの部門を定義します |
| DisplayName | ユーザー アカウントの表示名を定義します |
| ‑HomeDirectory | ユーザー アカウントのホーム ディレクトリの場所を定義します |
| ‑HomeDrive | ユーザー アカウントのホーム ディレクトリにマップするドライブ文字を定義します |
| ‑GivenName | ユーザー アカウントの名を定義します |
ユーザー アカウントを追加し、その Department 属性を IT に設定するには、コンソールで次のコマンドを入力し、Enter キーを押します。
New-ADUser "Ana Bowman" -Department IT
実行したコマンドでパスワードが設定されていないため、ユーザー アカウントは無効になり、パスワードが割り当てられるまで有効にできません。
注意
このコースの後半では、パスワードが自動的に割り当てられるユーザー アカウントを一括作成するために、コンマ区切りのファイルを使用する方法について説明します。