この記事では、ディレクトリ サービスのコマンド ライン ツールを使用して、Windows Server 2003 で Active Directory の管理タスクを実行する方法について説明します。 次のタスクは、タスク グループに分類されます。
適用対象: サポートされているバージョンの Windows Server
元の KB 番号: 322684
ユーザーを管理する方法
次のセクションでは、グループを管理するための詳細な手順について説明します。
新しいユーザー アカウントを作成する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[開く] ボックスに「 cmd.」と入力します。
コマンド プロンプトで、次のコマンドを入力します。
dsadd user <user_dn> -samid <sam_name>
このコマンドでは、次の値が使用されます。
- user_dn は、追加するユーザー オブジェクトの識別名 (DN とも呼ばれます) を指定します。
- sam_name では、このユーザーの一意の SAM アカウント名として使用されるセキュリティ アカウント マネージャー (SAM) 名を指定します (たとえば、リンダウ)。
ユーザー アカウントのパスワードを指定するには、次のコマンドを入力します。ここで、 password はユーザー アカウントに使用するパスワードです。
dsadd user <user_dn> -pwd password
Note
このコマンドの完全な構文を表示し、より多くのユーザー アカウント情報の入力に関する詳細情報を取得するには、コマンド プロンプトで「 dsadd user /?
」と入力します。
ユーザーのパスワードのリセット
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[開く] ボックスに「 cmd.」と入力します。
コマンド プロンプトで、次のコマンドを入力します。
dsmod user <user_dn> -pwd <new_password>
このコマンドでは、次の値を使用します。
- user_dn は、パスワードをリセットするユーザーの識別名を指定します。
- new_password 現在のユーザー パスワードを置き換えるパスワードを指定します
次のログオン プロセスでユーザーにこのパスワードの変更を要求する場合は、次のコマンドを入力します。
dsmod user <user_dn> -mustchpwd {yes|no}
パスワードが割り当てられない場合、ユーザーが初めてログオンしようとすると (空のパスワードを使用して)、次のログオン メッセージが表示されます。
最初のログオン時にパスワードを変更する必要がある
ユーザーがパスワードを変更すると、ログオン プロセスが続行されます。
サービスのユーザー アカウントのパスワードが変更された場合は、ユーザー アカウントで認証されたサービスをリセットする必要があります。
Note
このコマンドの完全な構文を表示し、より多くのユーザー アカウント情報の入力に関する詳細情報を取得するには、コマンド プロンプトで「 dsmod user /?
」と入力します。
ユーザー アカウントを無効または有効にする
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[開く] ボックスに「 cmd.」と入力します。
コマンド プロンプトで、次のコマンドを入力します。
dsmod user <user_dn> -disabled {yes|no}
このコマンドでは、次の値を使用します。
- user_dn 無効または有効にするユーザー オブジェクトの識別名を指定します。
- {yes|no} は、ユーザー アカウントがログオンに対して無効になっている (はい) かどうかを指定します (いいえ)。
Note
セキュリティ対策として、そのユーザーのアカウントを削除する代わりに、ユーザー アカウントを無効にして、特定のユーザーがログオンできないようにすることができます。 共通のグループ メンバーシップを持つユーザー アカウントを無効にした場合は、無効なユーザー アカウントをアカウント テンプレートとして使用して、ユーザー アカウントの作成を簡略化できます。
ユーザー アカウントを削除する
- [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
- [開く] ボックスに「 cmd.」と入力します。
- コマンド プロンプトで、
dsrm <user_dn>
コマンドを入力 user_dn 、削除するユーザー オブジェクトの識別名を指定します。
ユーザー アカウントを削除すると、そのユーザー アカウントに関連付けられているすべてのアクセス許可とメンバーシップが完全に削除されます。 各アカウントのセキュリティ識別子 (SID) は一意であるため、以前に削除したユーザー アカウントと同じ名前の新しいユーザー アカウントを作成した場合、新しいアカウントは、以前に削除されたアカウントのアクセス許可とメンバーシップを自動的に想定しません。 削除されたユーザー アカウントを複製するには、すべてのアクセス許可とメンバーシップを手動で再作成する必要があります。
Note
このコマンドの完全な構文を表示し、より多くのユーザー アカウント情報の入力に関する詳細情報を取得するには、コマンド プロンプトで「 dsrm /?
」と入力します。
グループを管理する方法
次のセクションでは、グループを管理するための詳細な手順について説明します。
新しいグループを作成する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[開く] ボックスに「 cmd.」と入力します。
コマンド プロンプトで、次のコマンドを入力します。
dsadd group <group_dn> -samid <sam_name> -secgrp {yes|no} -scope {l|g|u}
このコマンドでは、次の値を使用します。
- group_dn 追加するグループ オブジェクトの識別名を指定します。
- sam_name では、このグループの一意の SAM アカウント名である SAM 名 (演算子など) を指定します。
- {yes|no} は、追加するグループがセキュリティ グループ (はい) か配布グループ (いいえ) かを指定します。
- {l|g|u} は、追加するグループのスコープ (ドメイン ローカル [l]、グローバル [g]、またはユニバーサル [u]) を指定します。
グループを作成するドメインが Windows 2000 混合のドメイン機能レベルに設定されている場合は、ドメイン ローカル スコープまたはグローバル スコープを持つセキュリティ グループのみを選択できます。
このコマンドの完全な構文を表示し、グループ情報の入力に関する詳細情報を取得するには、コマンド プロンプトで「 dsadd group /?
」と入力します。
グループにメンバーを追加する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[開く] ボックスに「 cmd.」と入力します。
コマンド プロンプトで、次のコマンドを入力します。
dsmod group <group_dn> -addmbr <member_dn>
このコマンドでは、次の値を使用します。
- group_dn 追加するグループ オブジェクトの識別名を指定します。
- member_dn グループに追加するオブジェクトの識別名を指定します。
ユーザーとコンピューターに加えて、グループには連絡先やその他のグループを含めることができます。
このコマンドの完全な構文を表示し、より多くのユーザー アカウントとグループ情報の入力に関する詳細情報を取得するには、コマンド プロンプトで「 dsmod group /?
」と入力します。
グループを別のグループの種類に変換する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[開く] ボックスに「 cmd.」と入力します。
コマンド プロンプトで、次のコマンドを入力します。
dsmod group <group_dn> -secgrp {yes|no}
このコマンドでは、次の値を使用します。
- group_dn グループの種類を変更するグループ オブジェクトの識別名を指定します。
- {yes|no} は、グループの種類がセキュリティ グループ (はい) または配布グループ (いいえ) に設定されていることを指定します。
グループを変換するには、ドメイン機能を Windows 2000 Native 以降に設定する必要があります。 ドメイン機能が Windows 2000 Mixed に設定されている場合、グループを変換することはできません。
このコマンドの完全な構文を表示するには、コマンド プロンプトで「 dsmod group /?
」と入力します。
グループ スコープを変更する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[開く] ボックスに「 cmd.」と入力します。
コマンド プロンプトで、次のコマンドを入力します。
dsmod group <group_dn> -scope {l|g|u}
このコマンドでは、次の値を使用します。
- group_dn スコープを変更するグループ オブジェクトの識別名を指定します。
- {l|g|u} は、グループが設定されるスコープ (ローカル、グローバル、またはユニバーサル) を指定します。 ドメインがまだ Windows 2000 混合に設定されている場合、ユニバーサル スコープはサポートされません。 また、ドメイン ローカル グループをグローバル グループに変換したり、グローバル グループに変換したりすることはできません。
Note
ドメインの機能レベルが Windows 2000 ネイティブ以上に設定されている場合にのみ、グループ スコープを変更できます。
グループを削除する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[開く] ボックスに「 cmd.」と入力します。
コマンド プロンプトで、コマンド
dsrm <group_dn>
を入力します。group_dnは、削除するグループ オブジェクトの識別名を指定します。
Note
グループを削除すると、グループは完全に削除されます。
既定では、管理者やアカウントオペレーターなど、Windows Server 2003 を実行しているドメイン コントローラーで自動的に提供されるローカル グループは、組み込みフォルダーにあります。 既定では、ドメイン管理者やドメイン ユーザーなどの一般的なグローバル グループは、[ユーザー] フォルダーにあります。 任意のフォルダーに新しいグループを追加または移動できます。 組織単位フォルダーにグループを保持することをお勧めします。
このコマンドの完全な構文を表示するには、コマンド プロンプトで「 dsrm /?
」と入力します。
ユーザーがメンバーになっているグループを検索する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[開く] ボックスに「 cmd.」と入力します。
コマンド プロンプトで、次のコマンドを入力します。
dsget user <user_dn> -memberof
user_dnでは、グループ メンバーシップを表示するユーザー オブジェクトの識別名を指定します。
このコマンドの完全な構文を表示するには、コマンド プロンプトで「 dsget user /?
」と入力します。
コンピューターを管理する方法
次のセクションでは、コンピューターを管理するための詳細な手順について説明します。
新しいコンピューター アカウントを作成する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[開く] ボックスに「 cmd.」と入力します。
コマンド プロンプトで、次のコマンドを入力します。
dsadd computer <computer_dn>
computer_dnは、追加するコンピューターの識別名を指定します。 識別名は、フォルダーの場所を示します。
このコマンドの完全な構文を表示するには、コマンド プロンプトで「 dsadd computer /?
」と入力します。
コンピューター アカウントのプロパティを変更するには、dsmod computer コマンドを使用します。
コンピューター アカウントをグループに追加する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[開く] ボックスに「 cmd.」と入力します。
コマンド プロンプトで、次のコマンドを入力します。
dsmod group <group_dn> -addmbr <computer_dn>
このコマンドでは、次の値を使用します。
- group_dn コンピューター オブジェクトを追加するグループ オブジェクトの識別名を指定します。
- computer_dn グループに追加するコンピューター オブジェクトの識別名を指定します。 識別名は、フォルダーの場所を示します。
コンピューターをグループに追加するときに、そのグループ内のすべてのコンピューター アカウントにアクセス許可を割り当て、そのグループ内のすべてのアカウントでグループ ポリシー設定をフィルター処理できます。
このコマンドの完全な構文を表示するには、コマンド プロンプトで「 dsmod group /?
」と入力します。
コンピューター アカウントをリセットする
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[開く] ボックスに「 cmd.」と入力します。
コマンド プロンプトで、次のコマンドを入力します。
dsmod computer <computer_dn> -reset
computer_dnは、リセットする 1 つ以上のコンピューター オブジェクトの識別名を指定します。
Note
コンピューター アカウントをリセットすると、コンピューターのドメインへの接続が切断されます。 リセットした後、コンピューター アカウントをドメイン コンピューター アカウントに再び参加させる必要があります。
このコマンドの完全な構文を表示するには、コマンド プロンプトで「dsmod computer /? から始めます。
コンピューター アカウントを無効または有効にする
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[開く] ボックスに「 cmd.」と入力します。
コマンド プロンプトで、次のコマンドを入力します。
dsmod computer <computer_dn> -disabled {yes|no}
このコマンドでは、次の値を使用します。
- computer_dn は、無効または有効にするコンピューター オブジェクトの識別名を指定します。
- {yes|no} は、コンピューターがログオンに対して無効になっている (はい) かどうか (いいえ) を指定します。
コンピューター アカウントを無効にすると、コンピューターとドメインの接続が切断され、コンピューターはドメインに対して認証できません。
このコマンドの完全な構文を表示するには、コマンド プロンプトで「 dsmod computer /?
」と入力します。
組織単位を管理する方法
次のセクションでは、組織単位を管理するための詳細な手順について説明します。
新しい組織単位の作成
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[開く] ボックスに「 cmd.」と入力します。
コマンド プロンプトで、次のコマンドを入力します。
dsadd ou <organizational_unit_dn>
organizational_unit_dnは、追加する組織単位の識別名を指定します。
このコマンドの完全な構文を表示するには、コマンド プロンプトで「 dsadd ou /?
」と入力します。
Note
組織単位のプロパティを変更するには、 dsmod ou
コマンドを使用します。
組織単位を削除する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[開く] ボックスに「 cmd.」と入力します。
コマンド プロンプトで、コマンド
dsrm <organizational_unit_dn>
を入力します。organizational_unit_dnは、削除する組織単位の識別名を指定します。
このコマンドの完全な構文を表示するには、コマンド プロンプトで「 dsrm /?
」と入力します。
Note
組織単位を削除すると、その組織単位に含まれるすべてのオブジェクトが削除されます。
Active Directory を検索する方法
次のセクションでは、Active Directory を検索する詳細な手順について説明します。
ユーザー アカウントを検索する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[開く] ボックスに「 cmd.」と入力します。
コマンド プロンプトで、コマンド
dsquery user <parameter>
を入力します。パラメーター使用するパラメーターを指定します。 パラメーターの一覧については、d
squery user
コマンドのオンライン ヘルプを参照してください。
このコマンドの完全な構文を表示するには、コマンド プロンプトで「 dsquery user /?
」と入力します。
連絡先を検索する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[開く] ボックスに「 cmd.」と入力します。
コマンド プロンプトで、コマンド
dsquery contact <parameter>
を入力します。パラメーター使用するパラメーターを指定します。 パラメーターの一覧については、dsquery user コマンドのオンライン ヘルプを参照してください。
グループの検索
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[開く] ボックスに「 cmd.」と入力します。
コマンド プロンプトで、コマンド
dsquery group <parameter>
を入力します。パラメーター使用するパラメーターを指定します。 パラメーターの一覧については、dsquery user コマンドのオンライン ヘルプを参照してください。
既定では、管理者やアカウントオペレーターなど、Windows Server 2003 を実行しているドメイン コントローラーで自動的に提供されるローカル グループは、組み込みフォルダーにあります。 既定では、ドメイン管理者やドメイン ユーザーなどの一般的なグローバル グループは、[ユーザー] フォルダーにあります。 任意のフォルダーに新しいグループを追加または移動できます。 組織単位フォルダーにグループを保持することをお勧めします。
コンピューター アカウントを検索する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[開く] ボックスに「 cmd.」と入力します。
コマンド プロンプトで、コマンド
dsquery computer -name <name>
を入力します。nameコマンドが検索するコンピューター名を指定します。 このコマンドは、名前属性 (CN 属性の値) が name と一致するコンピューターを検索します。
このコマンドの完全な構文を表示するには、コマンド プロンプトで「 dsquery computer /?
」と入力します。
組織単位を検索する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[開く] ボックスに「 cmd.」と入力します。
コマンド プロンプトで、コマンド
dsquery ou <parameter>
を入力します。パラメーター使用するパラメーターを指定します。 パラメーターの一覧については、
dsquery ou
のオンライン ヘルプを参照してください。
このコマンドの完全な構文を表示するには、コマンド プロンプトで「 dsquery ou /?
」と入力します。
ドメイン コントローラーを検索する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[開く] ボックスに「 cmd.」と入力します。
コマンド プロンプトで、コマンド
dsquery server <parameter>
を入力します。パラメーター使用するパラメーターを指定します。 このコマンドを使用して検索できるサーバーには、いくつかの属性があります。 パラメーターの一覧については、以下のオンライン ヘルプを参照してください。
dsquery server.
カスタム検索を実行する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[開く] ボックスに「 cmd.」と入力します。
コマンド プロンプトで、コマンド
dsquery * <parameter>
を入力します。パラメーター使用するパラメーターを指定します。 このコマンドを使用して検索できる属性がいくつかあります。 LDAP 検索の詳細については、Windows Server 2003 リソース キットを参照してください。
関連情報
Windows Server 2003 の Directory Services コマンド ライン ツールの詳細については、Start をクリックし、Help とサポート センターをクリックし、Search ボックスに「directory service command-line tools」と入力します。