ディレクトリ サービス コマンド ライン ツールを使用して、Windows Server 2003 で Active Directory オブジェクトを管理する
この記事では、Directory Service コマンド ライン ツールを使用して、Windows Server 2003 で Active Directory の管理タスクを実行する方法について説明します。 次のタスクは、タスク グループに分割されます。
適用対象: サポートされているバージョンの Windows Server
元の KB 番号: 322684
ユーザーを管理する方法
次のセクションでは、グループを管理するための詳細な手順について説明します。
新しいユーザー アカウントを作成する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[ 開く ] ボックスに「cmd」と入力 します。
コマンド プロンプトで、以下のコマンドを入力します。
dsadd user <user_dn> -samid <sam_name>
このコマンドでは、次の値が使用されます。
- user_dn は、追加するユーザー オブジェクトの識別名 (DN とも呼ばれます) を指定します。
- sam_name は、このユーザーの一意の SAM アカウント名 (たとえば、Linda) として使用されるセキュリティ アカウント マネージャー (SAM) 名を指定します。
ユーザー アカウントのパスワードを指定するには、次のコマンドを入力します。 ここで、password はユーザー アカウントに使用するパスワードです。
dsadd user <user_dn> -pwd password
注:
このコマンドの完全な構文を表示し、より多くのユーザー アカウント情報の入力に関する詳細情報を取得するには、コマンド プロンプトで「」と入力します dsadd user /?
。
ユーザー パスワードをリセットする
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[ 開く ] ボックスに「cmd」と入力 します。
コマンド プロンプトで、以下のコマンドを入力します。
dsmod user <user_dn> -pwd <new_password>
このコマンドでは、次の値を使用します。
- user_dn は、パスワードをリセットするユーザーの識別名を指定します。
- new_password は、現在のユーザー パスワードを置き換えるパスワードを指定します
次のログオン プロセスでユーザーにこのパスワードの変更を要求する場合は、次のコマンドを入力します。
dsmod user <user_dn> -mustchpwd {yes|no}
パスワードが割り当てられない場合、ユーザーが初めて (空白のパスワードを使用して) ログオンしようとすると、次のログオン メッセージが表示されます。
最初のログオン時にパスワードを変更する必要があります
ユーザーがパスワードを変更した後、ログオン プロセスは続行されます。
サービスのユーザー アカウントのパスワードが変更された場合は、ユーザー アカウントで認証されたサービスをリセットする必要があります。
注:
このコマンドの完全な構文を表示し、より多くのユーザー アカウント情報の入力に関する詳細情報を取得するには、コマンド プロンプトで「」と入力します dsmod user /?
。
ユーザー アカウントを無効または有効にする
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[ 開く ] ボックスに「cmd」と入力 します。
コマンド プロンプトで、以下のコマンドを入力します。
dsmod user <user_dn> -disabled {yes|no}
このコマンドでは、次の値を使用します。
- user_dn は、無効または有効にするユーザー オブジェクトの識別名を指定します。
- {yes|no} は 、ユーザー アカウントがログオンに対して無効になっている (はい) かどうかを指定します (いいえ)。
注:
セキュリティ対策として、そのユーザーのアカウントを削除するのではなく、ユーザー アカウントを無効にして、特定のユーザーがログオンできないようにすることができます。 共通のグループ メンバーシップを持つユーザー アカウントを無効にした場合は、無効なユーザー アカウントをアカウント テンプレートとして使用して、ユーザー アカウントの作成を簡略化できます。
ユーザー アカウントを削除する
- [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
- [ 開く ] ボックスに「cmd」と入力 します。
- コマンド プロンプトでコマンドを
dsrm <user_dn>
入力します。ここで、 user_dn 削除するユーザー オブジェクトの識別名を指定します。
ユーザー アカウントを削除すると、そのユーザー アカウントに関連付けられているすべてのアクセス許可とメンバーシップが完全に削除されます。 各アカウントのセキュリティ識別子 (SID) は一意であるため、以前に削除したユーザー アカウントと同じ名前の新しいユーザー アカウントを作成した場合、新しいアカウントは、以前に削除したアカウントのアクセス許可とメンバーシップを自動的に想定しません。 削除されたユーザー アカウントを複製するには、すべてのアクセス許可とメンバーシップを手動で再作成する必要があります。
注:
このコマンドの完全な構文を表示し、より多くのユーザー アカウント情報の入力に関する詳細情報を取得するには、コマンド プロンプトで「」と入力します dsrm /?
。
グループを管理する方法
次のセクションでは、グループを管理するための詳細な手順について説明します。
新しいグループを作成する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[ 開く ] ボックスに「cmd」と入力 します。
コマンド プロンプトで、以下のコマンドを入力します。
dsadd group <group_dn> -samid <sam_name> -secgrp {yes|no} -scope {l|g|u}
このコマンドでは、次の値を使用します。
- group_dn は、追加するグループ オブジェクトの識別名を指定します。
- sam_name は、このグループの一意の SAM アカウント名である SAM 名 (演算子など) を指定します。
- {yes|no} は 、追加するグループがセキュリティ グループ (はい) か配布グループ (いいえ) かを指定します。
- {l|g|u} は 、追加するグループのスコープ (ドメイン ローカル [l]、グローバル [g]、またはユニバーサル [u]) を指定します。
グループを作成するドメインが Windows 2000 混合のドメイン機能レベルに設定されている場合は、ドメイン ローカル スコープまたはグローバル スコープを持つセキュリティ グループのみを選択できます。
このコマンドの完全な構文を表示し、より多くのグループ情報を入力する方法の詳細を取得するには、コマンド プロンプトで「」と入力します dsadd group /?
。
グループにメンバーを追加する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[ 開く ] ボックスに「cmd」と入力 します。
コマンド プロンプトで、以下のコマンドを入力します。
dsmod group <group_dn> -addmbr <member_dn>
このコマンドでは、次の値を使用します。
- group_dn は、追加するグループ オブジェクトの識別名を指定します。
- member_dn は、グループに追加するオブジェクトの識別名を指定します。
ユーザーとコンピューターに加えて、グループには連絡先やその他のグループを含めることができます。
このコマンドの完全な構文を表示し、より多くのユーザー アカウントとグループ情報の入力に関する詳細情報を取得するには、コマンド プロンプトで「」と入力します dsmod group /?
。
グループを別のグループの種類に変換する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[ 開く ] ボックスに「cmd」と入力 します。
コマンド プロンプトで、以下のコマンドを入力します。
dsmod group <group_dn> -secgrp {yes|no}
このコマンドでは、次の値を使用します。
- group_dn は、グループの種類を変更するグループ オブジェクトの識別名を指定します。
- {yes|no} は 、グループの種類がセキュリティ グループ (はい) または配布グループ (いいえ) に設定されていることを指定します。
グループを変換するには、ドメイン機能を Windows 2000 Native 以上に設定する必要があります。 ドメイン機能が Windows 2000 Mixed に設定されている場合、グループを変換することはできません。
このコマンドの完全な構文を表示するには、コマンド プロンプトで「」と入力 dsmod group /?
します。
グループ スコープを変更する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[ 開く ] ボックスに「cmd」と入力 します。
コマンド プロンプトで、以下のコマンドを入力します。
dsmod group <group_dn> -scope {l|g|u}
このコマンドでは、次の値を使用します。
- group_dn は、スコープを変更するグループ オブジェクトの識別名を指定します。
- {l|g|u} は 、グループが (ローカル、グローバル、またはユニバーサル) に設定されるスコープを指定します。 ドメインがまだ Windows 2000 混合に設定されている場合、ユニバーサル スコープはサポートされていません。 また、ドメイン ローカル グループをグローバル グループに変換することも、その逆に変換することもできません。
注:
グループ スコープは、ドメインの機能レベルが Windows 2000 ネイティブ以上に設定されている場合にのみ変更できます。
グループを削除する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[ 開く ] ボックスに「cmd」と入力 します。
コマンド プロンプトで、 コマンドを入力します
dsrm <group_dn>
。group_dnは、削除するグループ オブジェクトの識別名を指定します。
注:
グループを削除すると、グループは完全に削除されます。
既定では、管理者やアカウントオペレーターなど、Windows Server 2003 を実行しているドメイン コントローラーで自動的に提供されるローカル グループは、組み込みフォルダーにあります。 既定では、ドメイン管理者やドメイン ユーザーなどの一般的なグローバル グループは、Users フォルダーにあります。 任意のフォルダーに新しいグループを追加または移動できます。 Microsoft では、グループを組織単位フォルダーに保持することをお勧めします。
このコマンドの完全な構文を表示するには、コマンド プロンプトで「」と入力 dsrm /?
します。
ユーザーがメンバーであるグループを検索する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[ 開く ] ボックスに「cmd」と入力 します。
コマンド プロンプトで、以下のコマンドを入力します。
dsget user <user_dn> -memberof
user_dnは、グループ メンバーシップを表示するユーザー オブジェクトの識別名を指定します。
このコマンドの完全な構文を表示するには、コマンド プロンプトで「」と入力 dsget user /?
します。
コンピューターを管理する方法
次のセクションでは、コンピューターを管理するための詳細な手順について説明します。
新しいコンピューター アカウントを作成する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[ 開く ] ボックスに「cmd」と入力 します。
コマンド プロンプトで、以下のコマンドを入力します。
dsadd computer <computer_dn>
computer_dnは、追加するコンピューターの識別名を指定します。 識別名は、フォルダーの場所を示します。
このコマンドの完全な構文を表示するには、コマンド プロンプトで「」と入力 dsadd computer /?
します。
コンピューター アカウントのプロパティを変更するには、dsmod computer コマンドを使用します。
コンピューター アカウントをグループに追加する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[ 開く ] ボックスに「cmd」と入力 します。
コマンド プロンプトで、以下のコマンドを入力します。
dsmod group <group_dn> -addmbr <computer_dn>
このコマンドでは、次の値を使用します。
- group_dn は、コンピューター オブジェクトを追加するグループ オブジェクトの識別名を指定します。
- computer_dn は、グループに追加するコンピューター オブジェクトの識別名を指定します。 識別名は、フォルダーの場所を示します。
コンピューターをグループに追加すると、そのグループ内のすべてのコンピューター アカウントにアクセス許可を割り当て、そのグループ内のすべてのアカウントでグループ ポリシー設定をフィルター処理できます。
このコマンドの完全な構文を表示するには、コマンド プロンプトで「」と入力 dsmod group /?
します。
コンピューター アカウントをリセットする
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[ 開く ] ボックスに「cmd」と入力 します。
コマンド プロンプトで、以下のコマンドを入力します。
dsmod computer <computer_dn> -reset
computer_dnは、リセットする 1 つ以上のコンピューター オブジェクトの識別名を指定します。
注:
コンピューター アカウントをリセットすると、コンピューターのドメインへの接続が切断されます。 コンピューター アカウントをリセットした後、ドメイン コンピューター アカウントに再参加する必要があります。
このコマンドの完全な構文を表示するには、コマンド プロンプトで「dsmod computer /? 」と入力します。 .
コンピューター アカウントを無効または有効にする
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[ 開く ] ボックスに「cmd」と入力 します。
コマンド プロンプトで、以下のコマンドを入力します。
dsmod computer <computer_dn> -disabled {yes|no}
このコマンドでは、次の値を使用します。
- computer_dn は、無効または有効にするコンピューター オブジェクトの識別名を指定します。
- {yes|no} は 、コンピューターがログオンに対して無効になっている (はい) かどうかを指定します (いいえ)。
コンピューター アカウントを無効にすると、コンピューターとドメインの接続が切断され、コンピューターはドメインに対して認証できません。
このコマンドの完全な構文を表示するには、コマンド プロンプトで「」と入力 dsmod computer /?
します。
組織単位を管理する方法
次のセクションでは、組織単位を管理するための詳細な手順について説明します。
新しい組織単位を作成する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[ 開く ] ボックスに「cmd」と入力 します。
コマンド プロンプトで、以下のコマンドを入力します。
dsadd ou <organizational_unit_dn>
organizational_unit_dnは、追加する組織単位の識別名を指定します。
このコマンドの完全な構文を表示するには、コマンド プロンプトで「」と入力 dsadd ou /?
します。
注:
組織単位のプロパティを変更するには、 コマンドを dsmod ou
使用します。
組織単位を削除する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[ 開く ] ボックスに「cmd」と入力 します。
コマンド プロンプトで、 コマンドを入力します
dsrm <organizational_unit_dn>
。organizational_unit_dnは、削除する組織単位の識別名を指定します。
このコマンドの完全な構文を表示するには、コマンド プロンプトで「」と入力 dsrm /?
します。
注:
組織単位を削除すると、そのユニットに含まれるすべてのオブジェクトが削除されます。
Active Directory を検索する方法
次のセクションでは、Active Directory を検索する詳細な手順について説明します。
ユーザー アカウントを検索する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[ 開く ] ボックスに「cmd」と入力 します。
コマンド プロンプトで、 コマンドを入力します
dsquery user <parameter>
。パラメーターは、使用するパラメーターを指定します。 パラメーターの一覧については、d
squery user
コマンドのオンライン ヘルプを参照してください。
このコマンドの完全な構文を表示するには、コマンド プロンプトで「」と入力 dsquery user /?
します。
連絡先を検索する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[ 開く ] ボックスに「cmd」と入力 します。
コマンド プロンプトで、 コマンドを入力します
dsquery contact <parameter>
。パラメーターは、使用するパラメーターを指定します。 パラメーターの一覧については、dsquery user コマンドのオンライン ヘルプを参照してください。
グループを検索する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[ 開く ] ボックスに「cmd」と入力 します。
コマンド プロンプトで、 コマンドを入力します
dsquery group <parameter>
。パラメーターは、使用するパラメーターを指定します。 パラメーターの一覧については、dsquery user コマンドのオンライン ヘルプを参照してください。
既定では、管理者やアカウントオペレーターなど、Windows Server 2003 を実行しているドメイン コントローラーで自動的に提供されるローカル グループは、組み込みフォルダーにあります。 既定では、ドメイン管理者やドメイン ユーザーなどの一般的なグローバル グループは、Users フォルダーにあります。 任意のフォルダーに新しいグループを追加または移動できます。 Microsoft では、グループを組織単位フォルダーに保持することをお勧めします。
コンピューター アカウントを検索する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[ 開く ] ボックスに「cmd」と入力 します。
コマンド プロンプトで、 コマンドを入力します
dsquery computer -name <name>
。名前は、コマンドが検索するコンピューター名を指定します。 このコマンドは、名前属性 (CN 属性の値) が一致するコンピューターを検索 します。
このコマンドの完全な構文を表示するには、コマンド プロンプトで「」と入力 dsquery computer /?
します。
組織単位を検索する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[ 開く ] ボックスに「cmd」と入力 します。
コマンド プロンプトで、 コマンドを入力します
dsquery ou <parameter>
。パラメーターは、使用するパラメーターを指定します。 パラメーターの一覧については、 のオンライン ヘルプを
dsquery ou
参照してください。
このコマンドの完全な構文を表示するには、コマンド プロンプトで「」と入力 dsquery ou /?
します。
ドメイン コントローラーを検索する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[ 開く ] ボックスに「cmd」と入力 します。
コマンド プロンプトで、 コマンドを入力します
dsquery server <parameter>
。パラメーターは、使用するパラメーターを指定します。 このコマンドを使用して検索できるサーバーの属性がいくつかあります。 パラメーターの一覧については、オンライン ヘルプを参照してください。
dsquery server.
カスタム検索を実行する
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
[ 開く ] ボックスに「cmd」と入力 します。
コマンド プロンプトで、 コマンドを入力します
dsquery * <parameter>
。パラメーターは、使用するパラメーターを指定します。 このコマンドを使用して検索できる属性がいくつかあります。 LDAP 検索の詳細については、「Windows Server 2003 Resource Kit」を参照してください。
関連情報
Windows Server 2003 の Directory Services コマンド ライン ツールの詳細については、[スタート] をクリックし、[ヘルプとサポート センター] をクリックし、[検索] ボックスに「directory service コマンド ライン ツール」と入力します。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示