第10回 CUIによるオブジェクト管理【MicrosoftのMVP解説！第二弾 Active Directoryのハウツー読本】

Reading Time: 1 minutes

◆ 今回の記事のポイント ◆

・ CUIによるオブジェクトの管理方法について解説

前回までのコラムでは、オブジェクトを管理するために「Active Directoryユーザーとコンピューター」や「Active Directory管理センター」というGUIツールを紹介しました。今回は、CUIによるオブジェクト管理について解説します。

■ 識別名とCUI管理ツール

コマンドラインツールやWindows PowerShellなどのCUIを活用することで、複数のオブジェクトに対する一括操作を容易におこなうことができ、大量のオブジェクトを効率よく管理できます。CUIを使用してActive Directoryのオブジェクトを操作するためには、識別名(DN:Distinguished Name)と呼ばれる情報を理解しておく必要があります。
識別名とは、操作の対象となる「オブジェクトの場所を示す情報」です。識別名は、ディレクトリの階層の下から上の順に左からカンマ(,)で区切って記載します。また、その記載方法は、それぞれのオブジェクトの種類をCN(Common Name)、OU(Organizational Unit)、DC(Domain Component)で表し、オブジェクトの名前を指定します。たとえば、図のようなディレクトリの階層がある場合、このOUの配下にあるUserAの識別名は以下のようになります。

識別名を理解することにより、CUIの各種管理ツールを使用してオブジェクトの管理が可能になります。ドメインコントローラーをインストールすると、「Active Directoryユーザーとコンピューター」のようなGUIの管理ツールの他に、以下のようなCUIの管理ツールも一緒にインストールされます。

・DSコマンド(Dsadd.exe、Dsmod.exe、Dsmove.exe)
・Csvde.exe
・Ldifde.exe
・Windows PowerShellのActive Directory管理モジュール

上記のいずれのツールを使用する場合でも識別名の理解は必要ですが、今回のコラムではWindows PowerShellのActive Directory管理モジュールに含まれるコマンドレットを用いたオブジェクト管理をピックアップして解説します。

■ Windows PowerShellコマンドレットでのオブジェクト管理

Windows PowerShellはMicrosoftが開発したスクリプト言語であり、コマンドレットと呼ばれる実行命令の構文を使用して様々なタスクを実行できます。ドメインコントローラーにはActive Directory管理モジュールがインストールされるため、ユーザーやグループなどのオブジェクトを管理するためのコマンドレットが使用可能です。
Windows PowerShellのコマンドレットは「動詞-名詞」の形式で記述します。動詞の部分には、Get(情報を取得して表示)、New(オブジェクトを新規作成)、Set(属性を設定)、Remove(オブジェクトを削除)などを指定します。一方、名詞の部分はADUser、ADGroupなどのように、操作するオブジェクトの対象を指定します。ユーザーやグループを管理するための主なコマンドレットは以下のとおりです。

< ユーザーを管理するための主なコマンドレット >

コマンドレット	説明
New-ADUser	ユーザーを作成する
Set-ADUser	ユーザーのプロパティを変更する
Remove-ADUser	ユーザーを削除する
Set-ADAccountPassword	ユーザーのパスワードをリセットする
Enable-ADAccount	ユーザーを有効にする
Disable-ADAccount	ユーザーを無効にする

< グループを管理するための主なコマンドレット >

コマンドレット	説明
New-ADGroup	グループを作成する
Set-ADGroup	グループのプロパティを変更する
Get-ADGroup	グループのプロパティを表示する
Remove-ADGroup	グループを削除する
Add-ADGroupMember	グループにメンバーを追加する
Get-ADGroupMember	グループのメンバーを表示する
Remove-ADGroupMember	グループからメンバーを削除する

たとえば、ユーザーを新しく作成する場合、New-ADUserコマンドレットを使用します。UserAという名前のユーザーを、Contoso.comドメインのTokyoというOU内に作成したい場合は、以下のように実行します。

New-ADUser UserA -Path “OU=Tokyo,DC=Contoso,DC=com”

パスワードを指定せずにユーザーを作成した場合、パスワードは未設定となります。ユーザー作成時にパスワードも設定したい場合は、-AccountPasswordオプションを使用します。ただし、パスワードとなる文字列はあらかじめ暗号化して変数に格納しておくか、パスワードを入力するためのプロンプトを表示して設定する必要があります。あらかじめパスワードの文字列を暗号化して変数に格納しておき、UserAというユーザーを作成すると同時にパスワードの設定もおこないたい場合は、以下のように実行します。

$pwd = ConvertTo-SecureString “P@ssw0rd” -AsPlainText -Force
New-ADUser UserA -AccountPassword $pwd

パスワードを入力するためのプロンプトを表示し、プロンプトでパスワードの文字列を設定したい場合は、以下のように実行します。

New-ADUser UserA -AccountPassword (Read-Host -AsSecureString “Enter Password”)

次は、グループに関する管理についてです。グループに含まれるメンバーを表示したい場合は、Get-ADGroupMemberコマンドレットを使用し、-Identityオプションでグループ名を指定します。

Get-ADGroupMember -Identity TokyoUsers

グループが入れ子になっている場合は、既定ではそのグループ名のみ表示されます。入れ子になっているグループのメンバーも含めて再帰的に表示したい場合は、-Recursiveオプションを使用します。このオプションを使用することで、グループ単位で何回もメンバーを確認せずに済みます。

Get-ADGroupMember -Identity TokyoUsers -Recursive

前回までのオブジェクト管理に続いて、今回はCUIによるオブジェクト管理について解説しました。また、オブジェクト管理にあたっては、オブジェクトの作成や変更などの操作を記録する「監査」も重要な要素になります。次回のコラムでは、オブジェクトの監査について解説します。

筆者紹介

新井慎太朗 (あらいしんたろう)
株式会社ソフィアネットワークに勤務し、2009年よりマイクロソフト認定トレーナーとしてトレーニングの開催やコース開発に従事。前職である会計ソフトメーカー勤務時には、会計ソフトの導入サポート支援や業務別講習会講師を担当。これらの経歴も活かして、ユーザー視点や過去の経験談なども交えながらのトレーニングを提供。主にWindows OS、仮想化技術関連のマイクロソフト認定コースを中心に講師として活動しながら、近年の書籍の執筆などの活動も評価され、2017年からMicrosoft MVP for Enterprise Mobilityを受賞。
主な著作は『ひと目でわかるAzure Information Protection』 (日経BP)、『徹底攻略MCP問題集 Windows Server 2016』『徹底攻略MCP問題集 Windows 10』(インプレスジャパン)、『ひとり情シスのためのWindows Server逆引きデザインパターン』 (エクスナレッジ) など。

ゾーホー社員のつぶやき

こんにちは、ゾーホージャパンの前田です。今回は、CUIによるオブジェクトの管理方法について学びました。その中で、Active Directoryのオブジェクトを操作するための識別名(DN:Distinguished Name)に関する紹介がありましたが、ManageEngineが提供する「ADManager Plus」では、識別名をはじめとする各種属性を利用することで、作業の一括処理を簡単に実現します。具体的には、ヘッダー部分に属性名、以降の行に対応する情報を入力したCSVファイルを作成いただくことで、ユーザーやグループなどの一括作成や変更などを行うことができます。