現在オフラインです。再接続するためにインターネットの接続を待っています

Windows Server 2003 でディレクトリ サービスのコマンド ライン ツールを使用して Active Directory のオブジェクトを管理する方法

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

概要
この資料は、Windows Server 2003 でディレクトリ サービスのコマンド ライン ツールを使用して、Active Directory の管理タスクを実行する方法を記述したものです。以下、各タスクを該当するタスク グループに分けて記述します。

先頭に戻る

ユーザーを管理する方法

新しいユーザー アカウントの作成

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsadd user userdn -samid sam_name
    このコマンドでは次の値を使用します。
    • userdn : 追加するユーザー オブジェクトの識別名 (別名 DN) を指定します。
    • sam_name : このユーザーの一意なセキュリティ アカウント マネージャ (SAM) アカウント名として使用する SAM 名 (たとえば、Linda) を指定します。
  4. ユーザー アカウントのパスワードを指定するには、次のコマンドを入力します (password には、そのユーザー アカウントに対して使用するパスワードが入ります)。
    dsadd user userdn -pwd password
: このコマンドの完全な構文や、その他のユーザー アカウント情報を入力する方法の詳しい情報を入手するには、コマンド プロンプトで dsadd user /? と入力します。

先頭に戻る

ユーザー パスワードの再設定

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsmod user user_dn -pwd new_password
    このコマンドでは次の値を使用します。
    • user_dn : パスワードを再設定するユーザーの識別名を指定します。
    • new_password : 現在のユーザー パスワードに代わる新しいパスワードを指定します。
  4. 次回のログオン時に、ユーザーがこのパスワードを変更する必要がある指定にするには、次のコマンドを入力します。
    dsmod user user_dn -mustchpwd {yes|no}
: パスワードが指定されていない場合は、ユーザーが最初に (パスワードなしで) ログオンしようとすると、次のログオン メッセージが表示されます。
初回ログオン時にパスワードの変更を要求されます。
パスワードを変更すると、ログオン処理が続行されます。

サービスのユーザー アカウントを変更した場合は、そのユーザー アカウントで認証されるサービスを再設定する必要があります。

: このコマンドの完全な構文や、その他のユーザー アカウント情報を入力する方法の詳しい情報を入手するには、コマンド プロンプトで dsmod user /? と入力します。

先頭に戻る

ユーザー アカウントの無効化または有効化

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsmod user user_dn -disabled {yes|no}
    このコマンドでは次の値を使用します。
    • user_dn : 有効または無効にするユーザー オブジェクトの識別名を指定します。
    • {yes|no} : そのユーザー アカウントによるログオンが有効 (yes) か無効 (no) かを指定します。
: セキュリティ対策として、ユーザーのアカウントを削除する代わりに、ユーザー アカウントを無効にして特定のユーザーがログオンできないようにできます。共通のグループ メンバシップを持つユーザー アカウントを無効にしておくことにより、ユーザー アカウントの作成を簡単にするためのアカウント テンプレートとして、この無効になったユーザー アカウントを使用できます。

先頭に戻る

ユーザー アカウントの削除

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトで、次のコマンドを入力します。user_dn には、削除するユーザー オブジェクトの識別名を指定します。
    dsrm user_dn
アカウントを削除すると、そのユーザー アカウントに対応するアクセス許可やメンバシップはすべて永久に削除されます。各アカウントのセキュリティ ID (SID) は一意であるため、以前に削除したユーザー アカウントと同じ名前を持つ新しいユーザー アカウントを作成しても、以前のアカウントのアクセス許可やメンバシップが自動的に復元されることはありません。削除したユーザー アカウントの複製を作成するには、すべてのアクセス許可とメンバシップを手作業で作成し直す必要があります。

: このコマンドの完全な構文や、その他のユーザー アカウント情報を入力する方法の詳しい情報を入手するには、コマンド プロンプトで dsrm /? と入力します。

先頭に戻る

グループを管理する方法

新しいグループの作成

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsadd group group_dn -samid sam_name -secgrp yes | no -scope l | g | u
    このコマンドでは次の値を使用します。
    • group_dn : 追加するグループ オブジェクトの識別名を指定します。
    • sam_name : このグループの一意な SAM アカウント名である SAM 名 (たとえば、operators) を指定します。
    • yes | no : 追加するグループが、セキュリティ グループ (yes) か配布グループ (no) かを指定します。
    • l | g | u : 追加するグループのスコープ (ドメイン ローカル [l]、グローバル [g]、ユニバーサル [u]) を指定します。
グループを作成するドメインに、ドメイン機能レベルとして Windows 2000 混在が設定されている場合、ドメイン ローカル スコープかグローバル スコープを持つセキュリティ グループのみを選択できます。

このコマンドの完全な構文や、その他のグループ情報を入力する方法の詳しい情報を入手するには、コマンド プロンプトで dsadd group /? と入力します。

先頭に戻る

グループへのメンバ追加

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsmod group group_dn -addmbr member_dn
    このコマンドでは次の値を使用します。
    • group_dn : 追加するグループ オブジェクトの識別名を指定します。
    • member_dn : グループに追加するオブジェクトの識別名を指定します。
ユーザーとコンピュータに加えて、グループには連絡先や他のグループを含めることができます。

このコマンドの完全な構文や、その他のグループ情報を入力する方法の詳しい情報を入手するには、コマンド プロンプトで dsmod group /? と入力します。

先頭に戻る

グループの別のグループの種類への変換

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsmod group group_dn -secgrp {yes|no}
    このコマンドでは次の値を使用します。
    • group_dn : グループの種類を変更するグループ オブジェクトの識別名を指定します。
    • {yes|no} : グループの種類の設定としてセキュリティ グループ (yes) または配布グループ (no) を指定します。
グループを変換するには、ドメインの機能レベルを Windows 2000 ネイティブ以上に設定する必要があります。ドメインの機能レベルを Windows 2000 混在に設定した場合、グループの変換はできません。

このコマンドの完全な構文を参照するには、コマンド プロンプトで dsmod group /? と入力します。

先頭に戻る

グループのスコープの変更

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsmod group group_dn -scope l|g|u
    このコマンドでは次の値を使用します。
    • group_dn : スコープを変更するグループ オブジェクトの識別名を指定します。
    • l|g|u : グループに設定するスコープ (ローカル、グローバル、またはユニバーサル) を指定します。ドメインが引き続き Windows 2000 混在に設定されている場合、ユニバーサル スコープはサポートされません。また、ドメイン ローカル グループをグローバル グループに変換したり、その逆を行うこともできません。
    : グループのスコープを変更できるのは、ドメインの機能レベルが Windows 2000 ネイティブ以上の場合に限られます。
先頭に戻る

グループの削除

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsrm group_dn
    このコマンドでは次の値を使用します。
    • group_dn : 削除するグループ オブジェクトの識別名を指定します。
: グループを削除すると、そのグループは永久に削除されます。

デフォルトでは、Windows Server 2003 を実行しているドメイン コントローラで自動的に用意される Administrators や Account Operators などのローカル グループは、Builtin フォルダにあります。Domain Admins や Domain Users などの共通のグローバル グループは、デフォルトで Users フォルダにあります。どのフォルダにも新しいグループを追加したり移動したりすることができます。マイクロソフトでは、各グループを組織単位のフォルダに保存することを推奨しています。

このコマンドの完全な構文を参照するには、コマンド プロンプトで dsrm /? と入力します。

先頭に戻る

ユーザーが所属するグループの検索

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsget user user_dn -memberof
    このコマンドでは次の値を使用します。
    • user_dn : グループ メンバシップを表示するユーザー オブジェクトの識別名を指定します。
このコマンドの完全な構文を参照するには、コマンド プロンプトで dsget user /? と入力します。

先頭に戻る

コンピュータを管理する方法

新しいコンピュータ アカウントの作成

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsadd computer computer_dn
    このコマンドでは次の値を使用します。
    • computer_dn : 追加するコンピュータの識別名を指定します。この識別名がフォルダの場所を示します。
このコマンドの完全な構文を参照するには、コマンド プロンプトで dsadd computer /? と入力します。

コンピュータ アカウントのプロパティを変更するには、dsmod computer コマンドを使用します。

先頭に戻る

コンピュータ アカウントのグループへの追加

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsmod group group_dn -addmbr computer_dn
    このコマンドでは次の値を使用します。
    • group_dn : コンピュータ オブジェクトを追加するグループ オブジェクトの識別名を指定します。
    • computer_dn : グループに追加されるコンピュータ オブジェクトの識別名を指定します。この識別名がフォルダの場所を示します。
コンピュータをグループに追加する際に、そのグループ内のコンピュータ アカウントすべてにアクセス許可を割り当て、その後で、そのグループ内のすべてのコンピュータに対して、グループ ポリシー設定でフィルタを適用できます。

このコマンドの完全な構文を参照するには、コマンド プロンプトで dsmod group /? と入力します。

先頭に戻る

コンピュータ アカウントの再設定

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsmod computer computer_dn -reset
    このコマンドでは次の値を使用します。
    • computer_dn : 再設定する 1 つ以上のコンピュータ オブジェクトの識別名を指定します。
: コンピュータ アカウントを再設定すると、コンピュータのドメインへの接続が解除されます。再設定の後は、コンピュータ アカウントを再参加させてドメイン コンピュータ アカウントにする必要があります。

このコマンドの完全な構文を参照するには、コマンド プロンプトで dsmod computer /? と入力します。

先頭に戻る

コンピュータ アカウントの無効化または有効化

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsmod computer computer_dn -disabled {yes|no}
    このコマンドでは次の値を使用します。
    • computer_dn : 無効または有効にするコンピュータ オブジェクトの識別名を指定します。
    • {yes|no} : コンピュータがログオンに対して有効 (yes) か無効 (no) かを指定します。
コンピュータ アカウントを無効にすると、そのコンピュータとドメインとの接続が解除され、コンピュータはドメインへの認証を受けられません。

このコマンドの完全な構文を参照するには、コマンド プロンプトで dsmod computer /? と入力します。

先頭に戻る

組織単位を管理する方法

新しい組織単位の作成

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsadd ou organizational_unit_dn
    このコマンドでは次の値を使用します。
    • organizational_unit_dn : 追加する組織単位の識別名を指定します。
このコマンドの完全な構文を参照するには、コマンド プロンプトで dsadd ou /? と入力します。

: 組織単位のプロパティを変更するには、dsmod ou コマンドを使用します。

先頭に戻る

組織単位の削除

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsrm organizational_unit_dn
    このコマンドでは次の値を使用します。
    • organizational_unit_dn : 削除する組織単位の識別名を指定します。
    このコマンドの完全な構文を参照するには、コマンド プロンプトで dsrm /? と入力します。

    : 組織単位を削除すると、それに含まれるオブジェクトがすべて削除されます。
先頭に戻る

Active Directory を検索する方法

ユーザー アカウントの検索

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsquery user parameter
    このコマンドでは次の値を使用します。
    • parameter : 使用するパラメータを指定します。パラメータの一覧については、dsquery user コマンドのオンライン ヘルプを参照してください。
このコマンドの完全な構文を参照するには、コマンド プロンプトで dsquery user /? と入力します。

先頭に戻る

連絡先の検索

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsquery contact parameter
    このコマンドでは次の値を使用します。
    • parameter : 使用するパラメータを指定します。パラメータの一覧については、dsquery user コマンドのオンライン ヘルプを参照してください。
先頭に戻る

グループの検索

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsquery group parameter
    このコマンドでは次の値を使用します。
    • parameter : 使用するパラメータを指定します。パラメータの一覧については、dsquery user コマンドのオンライン ヘルプを参照してください。
デフォルトでは、Windows Server 2003 を実行しているドメイン コントローラで自動的に用意される Administrators や Account Operators などのローカル グループは、Builtin フォルダにあります。Domain Admins や Domain Users などの共通のグローバル グループは、デフォルトで Users フォルダにあります。どのフォルダにも新しいグループを追加したり移動したりすることができます。マイクロソフトでは、各グループを組織単位のフォルダに保存することを推奨しています。

先頭に戻る

コンピュータ アカウントの検索

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsquery computer -name name
    このコマンドでは次の値を使用します。
    • name : コマンドで検索するコンピュータの名前を指定します。このコマンドは、名前の属性 (CN 属性の値) が name と一致するコンピュータを検索します。
このコマンドの完全な構文を参照するには、コマンド プロンプトで dsquery computer /? と入力します。

先頭に戻る

組織単位の検索

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsquery ou parameter
    このコマンドでは次の値を使用します。
    • parameter : 使用するパラメータを指定します。パラメータの一覧については、dsquery ou のオンライン ヘルプを参照してください。
このコマンドの完全な構文を参照するには、コマンド プロンプトで dsquery ou /? と入力します。

先頭に戻る

ドメイン コントローラの検索

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsquery server parameter
    このコマンドでは次の値を使用します。
    • parameter : 使用するパラメータを指定します。このコマンドを使用してサーバーのさまざまな属性を検索できます。パラメータの一覧については、dsquery server のオンライン ヘルプを参照してください。
先頭に戻る

カスタム検索の実行

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに cmd と入力します。
  3. コマンド プロンプトに次のコマンドを入力します。
    dsquery * parameter
    このコマンドでは次の値を使用します。
    • parameter : 使用するパラメータを指定します。このコマンドを使用してさまざまな属性を検索できます。LDAP 検索の詳細については、『Windows Server 2003 Resource Kit』を参照してください。
先頭に戻る
関連情報
Windows Server 2003 のディレクトリ サービス コマンド ライン ツールの詳細については、[スタート] ボタンをクリックして [ヘルプとサポート] をクリックし、[検索] ボックスに "ディレクトリ サービス" "コマンド ライン" ツールと入力してください。

先頭に戻る
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 322684 (最終更新日 2004-07-15) を基に作成したものです。
プロパティ

文書番号:322684 - 最終更新日: 12/03/2007 07:34:00 - リビジョン: 8.3

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition

  • kbhowtomaster kbactivedirectory KB322684
フィードバック
/html>