次の方法で共有


Windows Server 2003 でディレクトリ サービスのコマンド ライン ツールを使用して Active Directory オブジェクトを管理する

この記事では、ディレクトリ サービスのコマンド ライン ツールを使用して、Windows Server 2003 で Active Directory の管理タスクを実行する方法について説明します。 次のタスクは、タスク グループに分類されます。

適用対象: サポートされているバージョンの Windows Server
元の KB 番号: 322684

ユーザーを管理する方法

次のセクションでは、グループを管理するための詳細な手順について説明します。

新しいユーザー アカウントを作成する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く] ボックスに「 cmd.」と入力します。

  3. コマンド プロンプトで、次のコマンドを入力します。

    dsadd user <user_dn> -samid <sam_name>
    

    このコマンドでは、次の値が使用されます。

    • user_dn は、追加するユーザー オブジェクトの識別名 (DN とも呼ばれます) を指定します。
    • sam_name では、このユーザーの一意の SAM アカウント名として使用されるセキュリティ アカウント マネージャー (SAM) 名を指定します (たとえば、リンダウ)。
  4. ユーザー アカウントのパスワードを指定するには、次のコマンドを入力します。ここで、 password はユーザー アカウントに使用するパスワードです。

    dsadd user <user_dn> -pwd password
    

Note

このコマンドの完全な構文を表示し、より多くのユーザー アカウント情報の入力に関する詳細情報を取得するには、コマンド プロンプトで「 dsadd user /?」と入力します。

ユーザーのパスワードのリセット

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く] ボックスに「 cmd.」と入力します。

  3. コマンド プロンプトで、次のコマンドを入力します。

    dsmod user <user_dn> -pwd <new_password>
    

    このコマンドでは、次の値を使用します。

    • user_dn は、パスワードをリセットするユーザーの識別名を指定します。
    • new_password 現在のユーザー パスワードを置き換えるパスワードを指定します
  4. 次のログオン プロセスでユーザーにこのパスワードの変更を要求する場合は、次のコマンドを入力します。

    dsmod user <user_dn> -mustchpwd {yes|no}
    

パスワードが割り当てられない場合、ユーザーが初めてログオンしようとすると (空のパスワードを使用して)、次のログオン メッセージが表示されます。

最初のログオン時にパスワードを変更する必要がある

ユーザーがパスワードを変更すると、ログオン プロセスが続行されます。

サービスのユーザー アカウントのパスワードが変更された場合は、ユーザー アカウントで認証されたサービスをリセットする必要があります。

Note

このコマンドの完全な構文を表示し、より多くのユーザー アカウント情報の入力に関する詳細情報を取得するには、コマンド プロンプトで「 dsmod user /?」と入力します。

ユーザー アカウントを無効または有効にする

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く] ボックスに「 cmd.」と入力します。

  3. コマンド プロンプトで、次のコマンドを入力します。

    dsmod user <user_dn> -disabled {yes|no}
    

    このコマンドでは、次の値を使用します。

    • user_dn 無効または有効にするユーザー オブジェクトの識別名を指定します。
    • {yes|no} は、ユーザー アカウントがログオンに対して無効になっている (はい) かどうかを指定します (いいえ)。

Note

セキュリティ対策として、そのユーザーのアカウントを削除する代わりに、ユーザー アカウントを無効にして、特定のユーザーがログオンできないようにすることができます。 共通のグループ メンバーシップを持つユーザー アカウントを無効にした場合は、無効なユーザー アカウントをアカウント テンプレートとして使用して、ユーザー アカウントの作成を簡略化できます。

ユーザー アカウントを削除する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [開く] ボックスに「 cmd.」と入力します。
  3. コマンド プロンプトで、 dsrm <user_dn> コマンドを入力 user_dn 、削除するユーザー オブジェクトの識別名を指定します。

ユーザー アカウントを削除すると、そのユーザー アカウントに関連付けられているすべてのアクセス許可とメンバーシップが完全に削除されます。 各アカウントのセキュリティ識別子 (SID) は一意であるため、以前に削除したユーザー アカウントと同じ名前の新しいユーザー アカウントを作成した場合、新しいアカウントは、以前に削除されたアカウントのアクセス許可とメンバーシップを自動的に想定しません。 削除されたユーザー アカウントを複製するには、すべてのアクセス許可とメンバーシップを手動で再作成する必要があります。

Note

このコマンドの完全な構文を表示し、より多くのユーザー アカウント情報の入力に関する詳細情報を取得するには、コマンド プロンプトで「 dsrm /?」と入力します。

グループを管理する方法

次のセクションでは、グループを管理するための詳細な手順について説明します。

新しいグループを作成する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く] ボックスに「 cmd.」と入力します。

  3. コマンド プロンプトで、次のコマンドを入力します。

    dsadd group <group_dn> -samid <sam_name> -secgrp {yes|no} -scope {l|g|u}
    

    このコマンドでは、次の値を使用します。

    • group_dn 追加するグループ オブジェクトの識別名を指定します。
    • sam_name では、このグループの一意の SAM アカウント名である SAM 名 (演算子など) を指定します。
    • {yes|no} は、追加するグループがセキュリティ グループ (はい) か配布グループ (いいえ) かを指定します。
    • {l|g|u} は、追加するグループのスコープ (ドメイン ローカル [l]、グローバル [g]、またはユニバーサル [u]) を指定します。

グループを作成するドメインが Windows 2000 混合のドメイン機能レベルに設定されている場合は、ドメイン ローカル スコープまたはグローバル スコープを持つセキュリティ グループのみを選択できます。

このコマンドの完全な構文を表示し、グループ情報の入力に関する詳細情報を取得するには、コマンド プロンプトで「 dsadd group /?」と入力します。

グループにメンバーを追加する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く] ボックスに「 cmd.」と入力します。

  3. コマンド プロンプトで、次のコマンドを入力します。

    dsmod group <group_dn> -addmbr <member_dn>
    

    このコマンドでは、次の値を使用します。

    • group_dn 追加するグループ オブジェクトの識別名を指定します。
    • member_dn グループに追加するオブジェクトの識別名を指定します。

ユーザーとコンピューターに加えて、グループには連絡先やその他のグループを含めることができます。

このコマンドの完全な構文を表示し、より多くのユーザー アカウントとグループ情報の入力に関する詳細情報を取得するには、コマンド プロンプトで「 dsmod group /?」と入力します。

グループを別のグループの種類に変換する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く] ボックスに「 cmd.」と入力します。

  3. コマンド プロンプトで、次のコマンドを入力します。

    dsmod group <group_dn> -secgrp {yes|no}
    

    このコマンドでは、次の値を使用します。

    • group_dn グループの種類を変更するグループ オブジェクトの識別名を指定します。
    • {yes|no} は、グループの種類がセキュリティ グループ (はい) または配布グループ (いいえ) に設定されていることを指定します。

グループを変換するには、ドメイン機能を Windows 2000 Native 以降に設定する必要があります。 ドメイン機能が Windows 2000 Mixed に設定されている場合、グループを変換することはできません。

このコマンドの完全な構文を表示するには、コマンド プロンプトで「 dsmod group /?」と入力します。

グループ スコープを変更する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く] ボックスに「 cmd.」と入力します。

  3. コマンド プロンプトで、次のコマンドを入力します。

    dsmod group <group_dn> -scope {l|g|u}
    

    このコマンドでは、次の値を使用します。

    • group_dn スコープを変更するグループ オブジェクトの識別名を指定します。
    • {l|g|u} は、グループが設定されるスコープ (ローカル、グローバル、またはユニバーサル) を指定します。 ドメインがまだ Windows 2000 混合に設定されている場合、ユニバーサル スコープはサポートされません。 また、ドメイン ローカル グループをグローバル グループに変換したり、グローバル グループに変換したりすることはできません。

Note

ドメインの機能レベルが Windows 2000 ネイティブ以上に設定されている場合にのみ、グループ スコープを変更できます。

グループを削除する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く] ボックスに「 cmd.」と入力します。

  3. コマンド プロンプトで、コマンド dsrm <group_dn>を入力します。

    group_dnは、削除するグループ オブジェクトの識別名を指定します。

Note

グループを削除すると、グループは完全に削除されます。

既定では、管理者やアカウントオペレーターなど、Windows Server 2003 を実行しているドメイン コントローラーで自動的に提供されるローカル グループは、組み込みフォルダーにあります。 既定では、ドメイン管理者やドメイン ユーザーなどの一般的なグローバル グループは、[ユーザー] フォルダーにあります。 任意のフォルダーに新しいグループを追加または移動できます。 組織単位フォルダーにグループを保持することをお勧めします。

このコマンドの完全な構文を表示するには、コマンド プロンプトで「 dsrm /?」と入力します。

ユーザーがメンバーになっているグループを検索する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く] ボックスに「 cmd.」と入力します。

  3. コマンド プロンプトで、次のコマンドを入力します。

    dsget user <user_dn> -memberof
    

    user_dnでは、グループ メンバーシップを表示するユーザー オブジェクトの識別名を指定します。

このコマンドの完全な構文を表示するには、コマンド プロンプトで「 dsget user /?」と入力します。

コンピューターを管理する方法

次のセクションでは、コンピューターを管理するための詳細な手順について説明します。

新しいコンピューター アカウントを作成する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く] ボックスに「 cmd.」と入力します。

  3. コマンド プロンプトで、次のコマンドを入力します。

    dsadd computer <computer_dn>
    

    computer_dnは、追加するコンピューターの識別名を指定します。 識別名は、フォルダーの場所を示します。

このコマンドの完全な構文を表示するには、コマンド プロンプトで「 dsadd computer /?」と入力します。

コンピューター アカウントのプロパティを変更するには、dsmod computer コマンドを使用します。

コンピューター アカウントをグループに追加する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く] ボックスに「 cmd.」と入力します。

  3. コマンド プロンプトで、次のコマンドを入力します。

    dsmod group <group_dn> -addmbr <computer_dn>
    

    このコマンドでは、次の値を使用します。

    • group_dn コンピューター オブジェクトを追加するグループ オブジェクトの識別名を指定します。
    • computer_dn グループに追加するコンピューター オブジェクトの識別名を指定します。 識別名は、フォルダーの場所を示します。

コンピューターをグループに追加するときに、そのグループ内のすべてのコンピューター アカウントにアクセス許可を割り当て、そのグループ内のすべてのアカウントでグループ ポリシー設定をフィルター処理できます。

このコマンドの完全な構文を表示するには、コマンド プロンプトで「 dsmod group /?」と入力します。

コンピューター アカウントをリセットする

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く] ボックスに「 cmd.」と入力します。

  3. コマンド プロンプトで、次のコマンドを入力します。

    dsmod computer <computer_dn> -reset
    

    computer_dnは、リセットする 1 つ以上のコンピューター オブジェクトの識別名を指定します。

    Note

    コンピューター アカウントをリセットすると、コンピューターのドメインへの接続が切断されます。 リセットした後、コンピューター アカウントをドメイン コンピューター アカウントに再び参加させる必要があります。

このコマンドの完全な構文を表示するには、コマンド プロンプトで「dsmod computer /? から始めます。

コンピューター アカウントを無効または有効にする

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く] ボックスに「 cmd.」と入力します。

  3. コマンド プロンプトで、次のコマンドを入力します。

    dsmod computer <computer_dn> -disabled {yes|no}
    

    このコマンドでは、次の値を使用します。

    • computer_dn は、無効または有効にするコンピューター オブジェクトの識別名を指定します。
    • {yes|no} は、コンピューターがログオンに対して無効になっている (はい) かどうか (いいえ) を指定します。

コンピューター アカウントを無効にすると、コンピューターとドメインの接続が切断され、コンピューターはドメインに対して認証できません。

このコマンドの完全な構文を表示するには、コマンド プロンプトで「 dsmod computer /?」と入力します。

組織単位を管理する方法

次のセクションでは、組織単位を管理するための詳細な手順について説明します。

新しい組織単位の作成

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く] ボックスに「 cmd.」と入力します。

  3. コマンド プロンプトで、次のコマンドを入力します。

    dsadd ou <organizational_unit_dn>
    

    organizational_unit_dnは、追加する組織単位の識別名を指定します。

このコマンドの完全な構文を表示するには、コマンド プロンプトで「 dsadd ou /?」と入力します。

Note

組織単位のプロパティを変更するには、 dsmod ou コマンドを使用します。

組織単位を削除する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く] ボックスに「 cmd.」と入力します。

  3. コマンド プロンプトで、コマンド dsrm <organizational_unit_dn>を入力します。

    organizational_unit_dnは、削除する組織単位の識別名を指定します。

このコマンドの完全な構文を表示するには、コマンド プロンプトで「 dsrm /?」と入力します。

Note

組織単位を削除すると、その組織単位に含まれるすべてのオブジェクトが削除されます。

Active Directory を検索する方法

次のセクションでは、Active Directory を検索する詳細な手順について説明します。

ユーザー アカウントを検索する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く] ボックスに「 cmd.」と入力します。

  3. コマンド プロンプトで、コマンド dsquery user <parameter>を入力します。

    パラメーター使用するパラメーターを指定します。 パラメーターの一覧については、dsquery user コマンドのオンライン ヘルプを参照してください。

このコマンドの完全な構文を表示するには、コマンド プロンプトで「 dsquery user /?」と入力します。

連絡先を検索する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く] ボックスに「 cmd.」と入力します。

  3. コマンド プロンプトで、コマンド dsquery contact <parameter>を入力します。

    パラメーター使用するパラメーターを指定します。 パラメーターの一覧については、dsquery user コマンドのオンライン ヘルプを参照してください。

グループの検索

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く] ボックスに「 cmd.」と入力します。

  3. コマンド プロンプトで、コマンド dsquery group <parameter>を入力します。

    パラメーター使用するパラメーターを指定します。 パラメーターの一覧については、dsquery user コマンドのオンライン ヘルプを参照してください。

既定では、管理者やアカウントオペレーターなど、Windows Server 2003 を実行しているドメイン コントローラーで自動的に提供されるローカル グループは、組み込みフォルダーにあります。 既定では、ドメイン管理者やドメイン ユーザーなどの一般的なグローバル グループは、[ユーザー] フォルダーにあります。 任意のフォルダーに新しいグループを追加または移動できます。 組織単位フォルダーにグループを保持することをお勧めします。

コンピューター アカウントを検索する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く] ボックスに「 cmd.」と入力します。

  3. コマンド プロンプトで、コマンド dsquery computer -name <name>を入力します。

    nameコマンドが検索するコンピューター名を指定します。 このコマンドは、名前属性 (CN 属性の値) が name と一致するコンピューターを検索します。

このコマンドの完全な構文を表示するには、コマンド プロンプトで「 dsquery computer /?」と入力します。

組織単位を検索する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く] ボックスに「 cmd.」と入力します。

  3. コマンド プロンプトで、コマンド dsquery ou <parameter>を入力します。

    パラメーター使用するパラメーターを指定します。 パラメーターの一覧については、 dsquery ouのオンライン ヘルプを参照してください。

このコマンドの完全な構文を表示するには、コマンド プロンプトで「 dsquery ou /?」と入力します。

ドメイン コントローラーを検索する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く] ボックスに「 cmd.」と入力します。

  3. コマンド プロンプトで、コマンド dsquery server <parameter>を入力します。

    パラメーター使用するパラメーターを指定します。 このコマンドを使用して検索できるサーバーには、いくつかの属性があります。 パラメーターの一覧については、以下のオンライン ヘルプを参照してください。 dsquery server.

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [開く] ボックスに「 cmd.」と入力します。

  3. コマンド プロンプトで、コマンド dsquery * <parameter>を入力します。

    パラメーター使用するパラメーターを指定します。 このコマンドを使用して検索できる属性がいくつかあります。 LDAP 検索の詳細については、Windows Server 2003 リソース キットを参照してください。

関連情報

Windows Server 2003 の Directory Services コマンド ライン ツールの詳細については、Start をクリックし、Help とサポート センターをクリックし、Search ボックスに「directory service command-line tools」と入力します。