ディレクトリ サービス コマンド ライン ツールを使用して、Windows Server 2003 で Active Directory オブジェクトを管理する

この記事では、Directory Service コマンド ライン ツールを使用して、Windows Server 2003 で Active Directory の管理タスクを実行する方法について説明します。 次のタスクは、タスク グループに分割されます。

適用対象: サポートされているバージョンの Windows Server
元の KB 番号: 322684

ユーザーを管理する方法

次のセクションでは、グループを管理するための詳細な手順について説明します。

新しいユーザー アカウントを作成する

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

2. [ 開く ] ボックスに「cmd」と入力 します。

3. コマンド プロンプトで、以下のコマンドを入力します。

   dsadd user <user_dn> -samid <sam_name>
   

   このコマンドでは、次の値が使用されます。

   • user_dn は、追加するユーザー オブジェクトの識別名 (DN とも呼ばれます) を指定します。
   • sam_name は、このユーザーの一意の SAM アカウント名 (たとえば、Linda) として使用されるセキュリティ アカウント マネージャー (SAM) 名を指定します。

4. ユーザー アカウントのパスワードを指定するには、次のコマンドを入力します。 ここで、password はユーザー アカウントに使用するパスワードです。

   dsadd user <user_dn> -pwd password
   

ユーザー パスワードをリセットする

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

2. [ 開く ] ボックスに「cmd」と入力 します。

3. コマンド プロンプトで、以下のコマンドを入力します。

   dsmod user <user_dn> -pwd <new_password>
   

   このコマンドでは、次の値を使用します。

   • user_dn は、パスワードをリセットするユーザーの識別名を指定します。
   • new_password は、現在のユーザー パスワードを置き換えるパスワードを指定します

4. 次のログオン プロセスでユーザーにこのパスワードの変更を要求する場合は、次のコマンドを入力します。

   dsmod user <user_dn> -mustchpwd {yes|no}
   

パスワードが割り当てられない場合、ユーザーが初めて (空白のパスワードを使用して) ログオンしようとすると、次のログオン メッセージが表示されます。

最初のログオン時にパスワードを変更する必要があります

ユーザーがパスワードを変更した後、ログオン プロセスは続行されます。

サービスのユーザー アカウントのパスワードが変更された場合は、ユーザー アカウントで認証されたサービスをリセットする必要があります。

ユーザー アカウントを無効または有効にする

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

2. [ 開く ] ボックスに「cmd」と入力 します。

3. コマンド プロンプトで、以下のコマンドを入力します。

   dsmod user <user_dn> -disabled {yes|no}
   

   このコマンドでは、次の値を使用します。

   • user_dn は、無効または有効にするユーザー オブジェクトの識別名を指定します。
   • {yes|no} は 、ユーザー アカウントがログオンに対して無効になっている (はい) かどうかを指定します (いいえ)。

ユーザー アカウントを削除する

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
2. [ 開く ] ボックスに「cmd」と入力 します。
3. コマンド プロンプトでコマンドを dsrm <user_dn> 入力します。ここで、 user_dn 削除するユーザー オブジェクトの識別名を指定します。

ユーザー アカウントを削除すると、そのユーザー アカウントに関連付けられているすべてのアクセス許可とメンバーシップが完全に削除されます。 各アカウントのセキュリティ識別子 (SID) は一意であるため、以前に削除したユーザー アカウントと同じ名前の新しいユーザー アカウントを作成した場合、新しいアカウントは、以前に削除したアカウントのアクセス許可とメンバーシップを自動的に想定しません。 削除されたユーザー アカウントを複製するには、すべてのアクセス許可とメンバーシップを手動で再作成する必要があります。

グループを管理する方法

次のセクションでは、グループを管理するための詳細な手順について説明します。

新しいグループを作成する

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

2. [ 開く ] ボックスに「cmd」と入力 します。

3. コマンド プロンプトで、以下のコマンドを入力します。

   dsadd group <group_dn> -samid <sam_name> -secgrp {yes|no} -scope {l|g|u}
   

   このコマンドでは、次の値を使用します。

   • group_dn は、追加するグループ オブジェクトの識別名を指定します。
   • sam_name は、このグループの一意の SAM アカウント名である SAM 名 (演算子など) を指定します。
   • {yes|no} は 、追加するグループがセキュリティ グループ (はい) か配布グループ (いいえ) かを指定します。
   • {l|g|u} は 、追加するグループのスコープ (ドメイン ローカル [l]、グローバル [g]、またはユニバーサル [u]) を指定します。

グループを作成するドメインが Windows 2000 混合のドメイン機能レベルに設定されている場合は、ドメイン ローカル スコープまたはグローバル スコープを持つセキュリティ グループのみを選択できます。

このコマンドの完全な構文を表示し、より多くのグループ情報を入力する方法の詳細を取得するには、コマンド プロンプトで「」と入力します dsadd group /?。

グループにメンバーを追加する

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

2. [ 開く ] ボックスに「cmd」と入力 します。

3. コマンド プロンプトで、以下のコマンドを入力します。

   dsmod group <group_dn> -addmbr <member_dn>
   

   このコマンドでは、次の値を使用します。

   • group_dn は、追加するグループ オブジェクトの識別名を指定します。
   • member_dn は、グループに追加するオブジェクトの識別名を指定します。

ユーザーとコンピューターに加えて、グループには連絡先やその他のグループを含めることができます。

このコマンドの完全な構文を表示し、より多くのユーザー アカウントとグループ情報の入力に関する詳細情報を取得するには、コマンド プロンプトで「」と入力します dsmod group /?。

グループを別のグループの種類に変換する

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

2. [ 開く ] ボックスに「cmd」と入力 します。

3. コマンド プロンプトで、以下のコマンドを入力します。

   dsmod group <group_dn> -secgrp {yes|no}
   

   このコマンドでは、次の値を使用します。

   • group_dn は、グループの種類を変更するグループ オブジェクトの識別名を指定します。
   • {yes|no} は 、グループの種類がセキュリティ グループ (はい) または配布グループ (いいえ) に設定されていることを指定します。

グループを変換するには、ドメイン機能を Windows 2000 Native 以上に設定する必要があります。 ドメイン機能が Windows 2000 Mixed に設定されている場合、グループを変換することはできません。

このコマンドの完全な構文を表示するには、コマンド プロンプトで「」と入力 dsmod group /?します。

グループ スコープを変更する

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

2. [ 開く ] ボックスに「cmd」と入力 します。

3. コマンド プロンプトで、以下のコマンドを入力します。

   dsmod group <group_dn> -scope {l|g|u}
   

   このコマンドでは、次の値を使用します。

   • group_dn は、スコープを変更するグループ オブジェクトの識別名を指定します。
   • {l|g|u} は 、グループが (ローカル、グローバル、またはユニバーサル) に設定されるスコープを指定します。 ドメインがまだ Windows 2000 混合に設定されている場合、ユニバーサル スコープはサポートされていません。 また、ドメイン ローカル グループをグローバル グループに変換することも、その逆に変換することもできません。

グループを削除する

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

2. [ 開く ] ボックスに「cmd」と入力 します。

3. コマンド プロンプトで、 コマンドを入力します dsrm <group_dn>。

   group_dnは、削除するグループ オブジェクトの識別名を指定します。

既定では、管理者やアカウントオペレーターなど、Windows Server 2003 を実行しているドメイン コントローラーで自動的に提供されるローカル グループは、組み込みフォルダーにあります。 既定では、ドメイン管理者やドメイン ユーザーなどの一般的なグローバル グループは、Users フォルダーにあります。 任意のフォルダーに新しいグループを追加または移動できます。 Microsoft では、グループを組織単位フォルダーに保持することをお勧めします。

このコマンドの完全な構文を表示するには、コマンド プロンプトで「」と入力 dsrm /?します。

ユーザーがメンバーであるグループを検索する

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

2. [ 開く ] ボックスに「cmd」と入力 します。

3. コマンド プロンプトで、以下のコマンドを入力します。

   dsget user <user_dn> -memberof
   

   user_dnは、グループ メンバーシップを表示するユーザー オブジェクトの識別名を指定します。

このコマンドの完全な構文を表示するには、コマンド プロンプトで「」と入力 dsget user /?します。

コンピューターを管理する方法

次のセクションでは、コンピューターを管理するための詳細な手順について説明します。

新しいコンピューター アカウントを作成する

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

2. [ 開く ] ボックスに「cmd」と入力 します。

3. コマンド プロンプトで、以下のコマンドを入力します。

   dsadd computer <computer_dn>
   

   computer_dnは、追加するコンピューターの識別名を指定します。 識別名は、フォルダーの場所を示します。

このコマンドの完全な構文を表示するには、コマンド プロンプトで「」と入力 dsadd computer /?します。

コンピューター アカウントのプロパティを変更するには、dsmod computer コマンドを使用します。

コンピューター アカウントをグループに追加する

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

2. [ 開く ] ボックスに「cmd」と入力 します。

3. コマンド プロンプトで、以下のコマンドを入力します。

   dsmod group <group_dn> -addmbr <computer_dn>
   

   このコマンドでは、次の値を使用します。

   • group_dn は、コンピューター オブジェクトを追加するグループ オブジェクトの識別名を指定します。
   • computer_dn は、グループに追加するコンピューター オブジェクトの識別名を指定します。 識別名は、フォルダーの場所を示します。

コンピューターをグループに追加すると、そのグループ内のすべてのコンピューター アカウントにアクセス許可を割り当て、そのグループ内のすべてのアカウントでグループ ポリシー設定をフィルター処理できます。

このコマンドの完全な構文を表示するには、コマンド プロンプトで「」と入力 dsmod group /?します。

コンピューター アカウントをリセットする

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

2. [ 開く ] ボックスに「cmd」と入力 します。

3. コマンド プロンプトで、以下のコマンドを入力します。

   dsmod computer <computer_dn> -reset
   

   computer_dnは、リセットする 1 つ以上のコンピューター オブジェクトの識別名を指定します。

   注:

   コンピューター アカウントをリセットすると、コンピューターのドメインへの接続が切断されます。 コンピューター アカウントをリセットした後、ドメイン コンピューター アカウントに再参加する必要があります。

このコマンドの完全な構文を表示するには、コマンド プロンプトで「dsmod computer /? 」と入力します。 .

コンピューター アカウントを無効または有効にする

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

2. [ 開く ] ボックスに「cmd」と入力 します。

3. コマンド プロンプトで、以下のコマンドを入力します。

   dsmod computer <computer_dn> -disabled {yes|no}
   

   このコマンドでは、次の値を使用します。

   • computer_dn は、無効または有効にするコンピューター オブジェクトの識別名を指定します。
   • {yes|no} は 、コンピューターがログオンに対して無効になっている (はい) かどうかを指定します (いいえ)。

コンピューター アカウントを無効にすると、コンピューターとドメインの接続が切断され、コンピューターはドメインに対して認証できません。

このコマンドの完全な構文を表示するには、コマンド プロンプトで「」と入力 dsmod computer /?します。

組織単位を管理する方法

次のセクションでは、組織単位を管理するための詳細な手順について説明します。

新しい組織単位を作成する

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

2. [ 開く ] ボックスに「cmd」と入力 します。

3. コマンド プロンプトで、以下のコマンドを入力します。

   dsadd ou <organizational_unit_dn>
   

   organizational_unit_dnは、追加する組織単位の識別名を指定します。

このコマンドの完全な構文を表示するには、コマンド プロンプトで「」と入力 dsadd ou /?します。

組織単位を削除する

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

2. [ 開く ] ボックスに「cmd」と入力 します。

3. コマンド プロンプトで、 コマンドを入力します dsrm <organizational_unit_dn>。

   organizational_unit_dnは、削除する組織単位の識別名を指定します。

このコマンドの完全な構文を表示するには、コマンド プロンプトで「」と入力 dsrm /?します。

Active Directory を検索する方法

次のセクションでは、Active Directory を検索する詳細な手順について説明します。

ユーザー アカウントを検索する

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

2. [ 開く ] ボックスに「cmd」と入力 します。

3. コマンド プロンプトで、 コマンドを入力します dsquery user <parameter>。

   パラメーターは、使用するパラメーターを指定します。 パラメーターの一覧については、dsquery user コマンドのオンライン ヘルプを参照してください。

このコマンドの完全な構文を表示するには、コマンド プロンプトで「」と入力 dsquery user /?します。

連絡先を検索する

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

2. [ 開く ] ボックスに「cmd」と入力 します。

3. コマンド プロンプトで、 コマンドを入力します dsquery contact <parameter>。

   パラメーターは、使用するパラメーターを指定します。 パラメーターの一覧については、dsquery user コマンドのオンライン ヘルプを参照してください。

グループを検索する

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

2. [ 開く ] ボックスに「cmd」と入力 します。

3. コマンド プロンプトで、 コマンドを入力します dsquery group <parameter>。

   パラメーターは、使用するパラメーターを指定します。 パラメーターの一覧については、dsquery user コマンドのオンライン ヘルプを参照してください。

既定では、管理者やアカウントオペレーターなど、Windows Server 2003 を実行しているドメイン コントローラーで自動的に提供されるローカル グループは、組み込みフォルダーにあります。 既定では、ドメイン管理者やドメイン ユーザーなどの一般的なグローバル グループは、Users フォルダーにあります。 任意のフォルダーに新しいグループを追加または移動できます。 Microsoft では、グループを組織単位フォルダーに保持することをお勧めします。

コンピューター アカウントを検索する

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

2. [ 開く ] ボックスに「cmd」と入力 します。

3. コマンド プロンプトで、 コマンドを入力します dsquery computer -name <name>。

   名前は、コマンドが検索するコンピューター名を指定します。 このコマンドは、名前属性 (CN 属性の値) が一致するコンピューターを検索 します。

このコマンドの完全な構文を表示するには、コマンド プロンプトで「」と入力 dsquery computer /?します。

組織単位を検索する

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

2. [ 開く ] ボックスに「cmd」と入力 します。

3. コマンド プロンプトで、 コマンドを入力します dsquery ou <parameter>。

   パラメーターは、使用するパラメーターを指定します。 パラメーターの一覧については、 のオンライン ヘルプを dsquery ou参照してください。

このコマンドの完全な構文を表示するには、コマンド プロンプトで「」と入力 dsquery ou /?します。

ドメイン コントローラーを検索する

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

2. [ 開く ] ボックスに「cmd」と入力 します。

3. コマンド プロンプトで、 コマンドを入力します dsquery server <parameter>。

   パラメーターは、使用するパラメーターを指定します。 このコマンドを使用して検索できるサーバーの属性がいくつかあります。 パラメーターの一覧については、オンライン ヘルプを参照してください。 dsquery server.

カスタム検索を実行する

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

2. [ 開く ] ボックスに「cmd」と入力 します。

3. コマンド プロンプトで、 コマンドを入力します dsquery * <parameter>。

   パラメーターは、使用するパラメーターを指定します。 このコマンドを使用して検索できる属性がいくつかあります。 LDAP 検索の詳細については、「Windows Server 2003 Resource Kit」を参照してください。

関連情報

Windows Server 2003 の Directory Services コマンド ライン ツールの詳細については、[スタート] をクリックし、[ヘルプとサポート センター] をクリックし、[検索] ボックスに「directory service コマンド ライン ツール」と入力します。