Windows Server 2003 でディレクトリ サービスのコマンド ライン ツールを使用して Active Directory のオブジェクトを管理する方法

文書翻訳 文書翻訳
文書番号: 322684 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

この資料は、Windows Server 2003 でディレクトリ サービスのコマンド ライン ツールを使用して、Active Directory の管理タスクを実行する方法を記述したものです。以下、各タスクを該当するタスク グループに分けて記述します。

ユーザーを管理する方法

新しいユーザー アカウントの作成

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsadd user userdn -samid sam_name
    このコマンドでは次の値を使用します。
    • userdn : 追加するユーザー オブジェクトの識別名 (別名 DN) を指定します。
    • sam_name : このユーザーの一意なセキュリティ アカウント マネージャ (SAM) アカウント名として使用する SAM 名 (たとえば、Linda) を指定します。
  4. ユーザー アカウントのパスワードを指定するには、次のコマンドを入力します (password には、そのユーザー アカウントに対して使用するパスワードが入ります)。
    dsadd user userdn -pwd password
: このコマンドの完全な構文や、その他のユーザー アカウント情報を入力する方法の詳しい情報を入手するには、コマンド プロンプトで dsadd user /? と入力します。

ユーザー パスワードの再設定

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsmod user user_dn -pwd new_password
    このコマンドでは次の値を使用します。
    • user_dn : パスワードを再設定するユーザーの識別名を指定します。
    • new_password : 現在のユーザー パスワードに代わる新しいパスワードを指定します。
  4. 次回のログオン時に、ユーザーがこのパスワードを変更する必要がある指定にするには、次のコマンドを入力します。
    dsmod user user_dn -mustchpwd {yes|no}
: パスワードが指定されていない場合は、ユーザーが最初に (パスワードなしで) ログオンしようとすると、次のログオン メッセージが表示されます。
初回ログオン時にパスワードの変更を要求されます。
パスワードを変更すると、ログオン処理が続行されます。

サービスのユーザー アカウントを変更した場合は、そのユーザー アカウントで認証されるサービスを再設定する必要があります。

: このコマンドの完全な構文や、その他のユーザー アカウント情報を入力する方法の詳しい情報を入手するには、コマンド プロンプトで dsmod user /? と入力します。

ユーザー アカウントの無効化または有効化

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsmod user user_dn -disabled {yes|no}
    このコマンドでは次の値を使用します。
    • user_dn : 有効または無効にするユーザー オブジェクトの識別名を指定します。
    • {yes|no} : そのユーザー アカウントによるログオンが有効 (yes) か無効 (no) かを指定します。
: セキュリティ対策として、ユーザーのアカウントを削除する代わりに、ユーザー アカウントを無効にして特定のユーザーがログオンできないようにできます。共通のグループ メンバシップを持つユーザー アカウントを無効にしておくことにより、ユーザー アカウントの作成を簡単にするためのアカウント テンプレートとして、この無効になったユーザー アカウントを使用できます。

ユーザー アカウントの削除

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトで、次のコマンドを入力します。 user_dn には、削除するユーザー オブジェクトの識別名を指定します。
    dsrm user_dn
アカウントを削除すると、そのユーザー アカウントに対応するアクセス許可やメンバシップはすべて永久に削除されます。各アカウントのセキュリティ ID (SID) は一意であるため、以前に削除したユーザー アカウントと同じ名前を持つ新しいユーザー アカウントを作成しても、以前のアカウントのアクセス許可やメンバシップが自動的に復元されることはありません。削除したユーザー アカウントの複製を作成するには、すべてのアクセス許可とメンバシップを手作業で作成し直す必要があります。

: このコマンドの完全な構文や、その他のユーザー アカウント情報を入力する方法の詳しい情報を入手するには、コマンド プロンプトで dsrm /? と入力します。

グループを管理する方法

新しいグループの作成

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsadd group group_dn -samid sam_name -secgrp yes | no -scope l | g | u
    このコマンドでは次の値を使用します。
    • group_dn : 追加するグループ オブジェクトの識別名を指定します。
    • sam_name : このグループの一意な SAM アカウント名である SAM 名 (たとえば、operators) を指定します。
    • yes | no : 追加するグループが、セキュリティ グループ (yes) か配布グループ (no) かを指定します。
    • l | g | u : 追加するグループのスコープ (ドメイン ローカル [l]、グローバル [g]、ユニバーサル [u]) を指定します。
グループを作成するドメインに、ドメイン機能レベルとして Windows 2000 混在が設定されている場合、ドメイン ローカル スコープかグローバル スコープを持つセキュリティ グループのみを選択できます。

このコマンドの完全な構文や、その他のグループ情報を入力する方法の詳しい情報を入手するには、コマンド プロンプトで dsadd group /? と入力します。

グループへのメンバ追加

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsmod group group_dn -addmbr member_dn
    このコマンドでは次の値を使用します。
    • group_dn : 追加するグループ オブジェクトの識別名を指定します。
    • member_dn : グループに追加するオブジェクトの識別名を指定します。
ユーザーとコンピュータに加えて、グループには連絡先や他のグループを含めることができます。

このコマンドの完全な構文や、その他のグループ情報を入力する方法の詳しい情報を入手するには、コマンド プロンプトで dsmod group /? と入力します。

グループの別のグループの種類への変換

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsmod group group_dn -secgrp {yes|no}
    このコマンドでは次の値を使用します。
    • group_dn : グループの種類を変更するグループ オブジェクトの識別名を指定します。
    • {yes|no} : グループの種類の設定としてセキュリティ グループ (yes) または配布グループ (no) を指定します。
グループを変換するには、ドメインの機能レベルを Windows 2000 ネイティブ以上に設定する必要があります。ドメインの機能レベルを Windows 2000 混在に設定した場合、グループの変換はできません。

このコマンドの完全な構文を参照するには、コマンド プロンプトで dsmod group /? と入力します。

グループのスコープの変更

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsmod group group_dn -scope l|g|u
    このコマンドでは次の値を使用します。
    • group_dn : スコープを変更するグループ オブジェクトの識別名を指定します。
    • l|g|u : グループに設定するスコープ (ローカル、グローバル、またはユニバーサル) を指定します。ドメインが引き続き Windows 2000 混在に設定されている場合、ユニバーサル スコープはサポートされません。また、ドメイン ローカル グループをグローバル グループに変換したり、その逆を行うこともできません。
    : グループのスコープを変更できるのは、ドメインの機能レベルが Windows 2000 ネイティブ以上の場合に限られます。

グループの削除

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsrm group_dn
    このコマンドでは次の値を使用します。
    • group_dn : 削除するグループ オブジェクトの識別名を指定します。
: グループを削除すると、そのグループは永久に削除されます。

デフォルトでは、Windows Server 2003 を実行しているドメイン コントローラで自動的に用意される Administrators や Account Operators などのローカル グループは、Builtin フォルダにあります。Domain Admins や Domain Users などの共通のグローバル グループは、デフォルトで Users フォルダにあります。どのフォルダにも新しいグループを追加したり移動したりすることができます。マイクロソフトでは、各グループを組織単位のフォルダに保存することを推奨しています。

このコマンドの完全な構文を参照するには、コマンド プロンプトで dsrm /? と入力します。

ユーザーが所属するグループの検索

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsget user user_dn -memberof
    このコマンドでは次の値を使用します。
    • user_dn : グループ メンバシップを表示するユーザー オブジェクトの識別名を指定します。
このコマンドの完全な構文を参照するには、コマンド プロンプトで dsget user /? と入力します。

コンピュータを管理する方法

新しいコンピュータ アカウントの作成

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsadd computer computer_dn
    このコマンドでは次の値を使用します。
    • computer_dn : 追加するコンピュータの識別名を指定します。この識別名がフォルダの場所を示します。
このコマンドの完全な構文を参照するには、コマンド プロンプトで dsadd computer /? と入力します。

コンピュータ アカウントのプロパティを変更するには、dsmod computer コマンドを使用します。

コンピュータ アカウントのグループへの追加

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsmod group group_dn -addmbr computer_dn
    このコマンドでは次の値を使用します。
    • group_dn : コンピュータ オブジェクトを追加するグループ オブジェクトの識別名を指定します。
    • computer_dn : グループに追加されるコンピュータ オブジェクトの識別名を指定します。この識別名がフォルダの場所を示します。
コンピュータをグループに追加する際に、そのグループ内のコンピュータ アカウントすべてにアクセス許可を割り当て、その後で、そのグループ内のすべてのコンピュータに対して、グループ ポリシー設定でフィルタを適用できます。

このコマンドの完全な構文を参照するには、コマンド プロンプトで dsmod group /? と入力します。

コンピュータ アカウントの再設定

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsmod computer computer_dn -reset
    このコマンドでは次の値を使用します。
    • computer_dn : 再設定する 1 つ以上のコンピュータ オブジェクトの識別名を指定します。
: コンピュータ アカウントを再設定すると、コンピュータのドメインへの接続が解除されます。再設定の後は、コンピュータ アカウントを再参加させてドメイン コンピュータ アカウントにする必要があります。

このコマンドの完全な構文を参照するには、コマンド プロンプトで dsmod computer /? と入力します。

コンピュータ アカウントの無効化または有効化

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsmod computer computer_dn -disabled {yes|no}
    このコマンドでは次の値を使用します。
    • computer_dn : 無効または有効にするコンピュータ オブジェクトの識別名を指定します。
    • {yes|no} : コンピュータがログオンに対して有効 (yes) か無効 (no) かを指定します。
コンピュータ アカウントを無効にすると、そのコンピュータとドメインとの接続が解除され、コンピュータはドメインへの認証を受けられません。

このコマンドの完全な構文を参照するには、コマンド プロンプトで dsmod computer /? と入力します。

組織単位を管理する方法

新しい組織単位の作成

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsadd ou organizational_unit_dn
    このコマンドでは次の値を使用します。
    • organizational_unit_dn : 追加する組織単位の識別名を指定します。
このコマンドの完全な構文を参照するには、コマンド プロンプトで dsadd ou /? と入力します。

: 組織単位のプロパティを変更するには、dsmod ou コマンドを使用します。

組織単位の削除

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsrm organizational_unit_dn
    このコマンドでは次の値を使用します。
    • organizational_unit_dn : 削除する組織単位の識別名を指定します。
    このコマンドの完全な構文を参照するには、コマンド プロンプトで dsrm /? と入力します。

    : 組織単位を削除すると、それに含まれるオブジェクトがすべて削除されます。

Active Directory を検索する方法

ユーザー アカウントの検索

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsquery user parameter
    このコマンドでは次の値を使用します。
    • parameter : 使用するパラメータを指定します。パラメータの一覧については、dsquery user コマンドのオンライン ヘルプを参照してください。
このコマンドの完全な構文を参照するには、コマンド プロンプトで dsquery user /? と入力します。

連絡先の検索

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsquery contact parameter
    このコマンドでは次の値を使用します。
    • parameter : 使用するパラメータを指定します。パラメータの一覧については、dsquery user コマンドのオンライン ヘルプを参照してください。

グループの検索

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsquery group parameter
    このコマンドでは次の値を使用します。
    • parameter : 使用するパラメータを指定します。パラメータの一覧については、dsquery user コマンドのオンライン ヘルプを参照してください。
デフォルトでは、Windows Server 2003 を実行しているドメイン コントローラで自動的に用意される Administrators や Account Operators などのローカル グループは、Builtin フォルダにあります。Domain Admins や Domain Users などの共通のグローバル グループは、デフォルトで Users フォルダにあります。どのフォルダにも新しいグループを追加したり移動したりすることができます。マイクロソフトでは、各グループを組織単位のフォルダに保存することを推奨しています。

コンピュータ アカウントの検索

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsquery computer -name name
    このコマンドでは次の値を使用します。
    • name : コマンドで検索するコンピュータの名前を指定します。このコマンドは、名前の属性 (CN 属性の値) が name と一致するコンピュータを検索します。
このコマンドの完全な構文を参照するには、コマンド プロンプトで dsquery computer /? と入力します。

組織単位の検索

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsquery ou parameter
    このコマンドでは次の値を使用します。
    • parameter : 使用するパラメータを指定します。パラメータの一覧については、dsquery ou のオンライン ヘルプを参照してください。
このコマンドの完全な構文を参照するには、コマンド プロンプトで dsquery ou /? と入力します。

ドメイン コントローラの検索

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsquery server parameter
    このコマンドでは次の値を使用します。
    • parameter : 使用するパラメータを指定します。このコマンドを使用してサーバーのさまざまな属性を検索できます。パラメータの一覧については、dsquery server のオンライン ヘルプを参照してください。

カスタム検索の実行

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsquery * parameter
    このコマンドでは次の値を使用します。
    • parameter : 使用するパラメータを指定します。このコマンドを使用してさまざまな属性を検索できます。LDAP 検索の詳細については、『Windows Server 2003 Resource Kit』を参照してください。

関連情報

Windows Server 2003 のディレクトリ サービス コマンド ライン ツールの詳細については、[スタート] ボタンをクリックして [ヘルプとサポート] をクリックし、[検索] ボックスに "ディレクトリ サービス" "コマンド ライン" ツールと入力してください。

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 322684 (最終更新日 2004-07-15) を基に作成したものです。

プロパティ

文書番号: 322684 - 最終更新日: 2007年12月3日 - リビジョン: 8.3
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
キーワード:?
kbhowtomaster kbactivedirectory KB322684
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com