にわか管理者のためのActive Directory入門 (54) オブジェクトの削除

ニュース
トップ

【連載】

にわか管理者のためのActive Directory入門

54 オブジェクトの削除

井上孝司  [2009/07/27]

54/100

今週は、Active Directoryにおけるオブジェクトの削除について解説する。

エクスプローラでファイルを削除する場合と異なり、Active Directoryのオブジェクト削除にはゴミ箱機能がないので、削除は注意深く行う必要がある。そのため、いきなり削除するのではなく、無効化できるものであれば、とりあえず無効化して様子を見る方が無難だ。

なお、こうした事情から、削除前に表示する確認メッセージでは既定値が[いいえ]になっており、うっかり[はい]をクリックして削除してしまう事故を防いでいる。

また、OUの場合には特に注意が必要となる。OUを削除すると、そのOU内のオブジェクトもすべて道連れになって削除するからだ。また、ユーザーアカウントやコンピュータアカウントと違って、OUは無効化もできない。そのため、OUを削除する際には、特に慎重に行う必要がある。

なお、オブジェクトのうち共有フォルダと共有プリンタは、オブジェクトを削除しても登録解除になるだけで、共有そのものは解除しない。

管理ツールを使用する方法

まず、[Active Directoryユーザーとコンピュータ]管理ツールを使用する方法から解説しよう。操作手順は以下の通りだ。

  1. [Active Directoryユーザーとコンピュータ]管理ツールを起動する。

  2. 左側のツリー画面で、削除したいオブジェクトがある場所(ドメイン、OUまたはコンテナ)を選択する。

  3. 右側の一覧で削除したいオブジェクトを選択して、[操作]-[削除]、あるいは右クリックして[削除]を選択する。削除する対象がOUの場合、左側のツリー画面で選択してもよい。

[削除]を選択すると、そのオブジェクトを削除する。手順はオブジェクトの種類に関係なく同じだが、OUについては配下のオブジェクトもまとめて削除する点に注意

OUの削除に関する注意(2008限定)

Windows Server 2008のActive Directoryでは、OUの「うっかり削除」を防ぐために、作成はできても削除はできない設定が既定値になっている。この設定を解除してOUを削除するには、以下の操作を行う。

  1. [Active Directoryユーザーとコンピュータ]管理ツールを起動する。

  2. [表示]メニューの[拡張機能]を選択する。

  3. 左側のツリー画面で目的のOUを選択して、[操作]-[プロパティ]、あるいは右クリックして[プロパティ]を選択する。

  4. [オブジェクト]タブに移動して、[誤って削除されないようにオブジェクトを保護する]チェックボックスをオフに変更する。

  5. Windows Server 2008では、「うっかり削除」を防ぐために、既定値では保護機能が有効になっている(作成時に選択可能)。[Active Directoryユーザーとコンピュータ]管理ツールの[表示]メニューで[拡張機能]を選択すると、プロパティ画面に[オブジェクト]タブが現れるが、そこで保護機能の有効・無効を変更できる

  6. [OK]をクリックしてダイアログを閉じる。

この操作により、OUの削除が可能になる。

なお、「2.」の操作により、グループのプロパティ画面にも同様の[オブジェクト]タブが出現する。ただしこちらは、既定値では[誤って削除されないようにオブジェクトを保護する]チェックボックスはオフになっている。これをオンにすることで、グループの「うっかり削除」を防止することもできる。特に重要性が高いグループについて、この設定を行うのも一案だ。

NETコマンドを使用する方法

オブジェクトの削除には、NETコマンドも使用できる。削除に際しての注意点は、[Active Directoryユーザーとコンピュータ]管理ツールを使用する場合と同様だ。

NETコマンドの場合、削除する対象によってコマンドが異なるが、いずれも引数「/delete」を使用する点は同じだ。対象ごとのコマンドの違いは以下のようになる。

ユーザーアカウント NET USER
コンピュータアカウント NET COMPUTER
ドメイングローバルグループ NET GROUP
ドメインローカルグループ NET LOCALGROUP

以下に、これらのコマンドの実行例を示す。

ユーザー「kojii」を削除

net user kojii /delete

ドメイングローバルグループ「Sales_RW」を削除

net group Sales_RW /delete

ドメインローカルグループ「Sales_RO」を削除

net localgroup Sales_RO /delete

コンピュータ「HERMES」のアカウントを削除

net computer \\HERMES /delete

dsrmコマンドを使用する方法(OU以外)

オブジェクトの種類に関係なく、削除にはdsrmコマンドを使用する。削除対象となるオブジェクトのLDAP識別名を指定するようになっており、オブジェクトの種類による違いはない。ただしOUについては、削除対象を指定する引数が加わっているため、後述する。

以下に、dsrmコマンドの実行例を示す。

ドメイン「ad-domain.company.local」内のOU「Sales」にあるユーザー「kojii」を削除

dsrm cn=kojii,ou=Sales,dc=ad-domain,dc=company,dc=local

ドメイン「ad-domain.company.local」内のコンテナ「Users」にある連絡先「webmaster」を削除

dsrm cn=webmaster,cn=Users,dc=ad-domain,dc=company,dc=local

ドメイン「ad-domain.company.local」内のコンテナ「Computers」にある、コンピュータ「helios」のアカウントを削除

dsrm cn=helios,cn=Computers,dc=ad-domain,dc=company,dc=local

ドメイン「ad-domain.company.local」内のOU「Tokyo」にある、グループ「Tokyo_Admin」を削除

dsrm cn=Tokyo_Admin,ou=Tokyo,dc=ad-domain,dc=company,dc=local

dsrmコマンドを使用する方法(OUの場合)

dsrmコマンドによるOUの削除には、OU固有の注意事項がある。それは、他のオブジェクトと違ってOUは階層化が可能である、という点だ。

OUの削除に際しては引数の指定により、「OUだけを削除」「OUのツリー全体を削除」「ツリーの中身を削除しつつ、削除対象になったツリー最上階層のOUだけは空白の状態で残す」といった指定が可能になっている。

OU「Tokyo」以下にあるOU「Sales」を、ドメイン「ad-domain.company.local」から削除

dsrm ou=Sales,ou=Tokyo,dc=ad-domain,dc=company,dc=local

ドメイン「ad-domain.company.local」から、OU「Tokyo」以下のツリーとオブジェクトを削除する(OU「Tokyo」も消滅)

dsrm -subtree -noprompt -c ou=Tokyo,dc=ad-domain,dc=company,dc=local

ドメイン「ad-domain.company.local」から、OU「Tokyo」以下のツリーとオブジェクトを削除する(OU「Tokyo」は残す)

dsrm -subtree -exclude -noprompt -c ou=Tokyo,dc=ad-domain,dc=company,dc=local

54/100

インデックス

連載目次
第100回 Active Directoryに関連する情報源など
第99回 Active Directoryとリモートアクセス
第98回 ネットワークの構成が変化したら
第97回 Server Core使用時のActive Directory操作
第96回 フォルダリダイレクトの利用
第95回 移動ユーザープロファイルの設定と[ドキュメント]フォルダの配置替え
第94回 グループポリシーによるクライアントPCの制御
第93回 RENDOMコマンドを使ったドメイン名変更(後編)
第92回 RENDOMコマンドを使ったドメイン名変更(前編)
第91回 ドメインコントローラの移動とGCの設定
第90回 サイト間リンクの作成と、各オブジェクトの設定変更・削除
第89回 サイトとサブネットの作成
第88回 サイトを構築しなければならない場面とは
第87回 フォレスト間信頼の設定と、信頼関係の削除
第86回 信頼関係を設定したときのアクセス権設定
第85回 信頼関係の設定(Windows 2000 Server以前)、信頼関係の削除
第84回 信頼関係の設定(Windows Server 2003以降)
第83回 信頼関係とは
第82回 Active Directoryのゴミ情報削除
第81回 Active Directoryの障害復旧(3) : データベースの検査・修復
第80回 Active Directoryの障害復旧(2) - データベースの移動・圧縮
第79回 Active Directoryの障害復旧(1) - 準備作業とパスワードの変更
第78回 操作マスタの移動
第77回 操作マスタとFSMO
第76回 OUの委任を受けた側の管理作業
第75回 OUを単位とする制御の委任
第74回 Active Directoryのアクセス権と制御の委任
第73回 セキュリティポリシーテンプレートの適用
第72回 セキュリティポリシーテンプレートの追加・編集
第71回 セキュリティポリシーテンプレートとは
第70回 ADMX Migratorによる管理用テンプレートの操作[W2K8]
第69回 ポリシー適用結果の事前確認
第68回 GPOのドメイン間移動
第67回 GPOの初期化とスターターGPOの作成
第66回 管理用テンプレートのフィルタ機能(Windows Server 2008)
第65回 管理用テンプレートの追加・削除
第64回 GPOの即時適用と初期状態の復元
第63回 GPOのバックアップ/復元/インポート
第62回 GPOの優先順位と継承の設定変更
第61回 GPMCによるGPOの管理作業
第60回 GPMCによるGPOの名前変更・無効化・削除
第59回 GPMCによるGPOの新規作成・編集・リンク
第58回 GPMCの入手とセットアップ[W2K3]
第57回 GPOの作成と編集(2)
第56回 GPOの作成と編集(1)
第55回 グループポリシーとは
第54回 オブジェクトの削除
第53回 コンピュータアカウントの無効化・有効化
第52回 オブジェクト一覧のエクスポートとインポート
第51回 オブジェクトの検索
第50回 コマンドによるオブジェクトのプロパティ表示
第49回 OU、コンピュータアカウント、グループのプロパティ変更
第48回 ドメイン・OU相互間でのオブジェクトの移動
第47回 OUの追加
第46回 OUは、こんな場面で使用する
第45回 所属するグループの指定とプライマリグループ
第44回 グループのメンバ変更
第43回 グループの追加
第42回 Active Directoryで利用可能なグループ
第41回 ユーザーアカウントのプロパティに関する補足情報とアカウントの区別
第40回 ユーザーログオン名やその他のプロパティの変更
第39回 ユーザーアカウントのパスワード変更
第38回 ユーザーアカウントの無効化
第37回 コマンドでユーザーアカウントを作成する際のプロパティ設定
第36回 連絡先の追加
第35回 ユーザーアカウントの追加
第34回 ユーザー・グループ・コンピュータの命名法
第33回 コンピュータアカウントのリセットと削除
第32回 Active Directoryからの離脱
第31回 クライアントPCに対する管理者権限とUAC
第30回 Active Directoryへの参加
第29回 Active Directory用のクライアントOSとコンピュータアカウント
第28回 LDAP識別名の記述ルール
第27回 パスワードレプリケーションポリシーの動作確認と変更(2008限定)
第26回 読み取り専用ドメインコントローラ(RODC)の構成(2008限定)
第25回 Active Directoryで動作するWindowsサーバの上書きアップグレード
第24回 ドメインコントローラを降格時の注意点
第23回 ドメイン コントローラの降格とドメインの削除
第22回 Windows NTへの上書きアップグレード
第21回 ドメインコントローラにおける異種OS混在
第20回 Windows Server 2003/2008への上書きアップグレード
第19回 機能レベルごとの違いと、機能レベルの引き上げ
第18回 Active Directoryの機能レベルとは
第17回 応答ファイルの出力と無人構成(2008限定)
第16回 ドメイン ツリーの追加
第15回 子ドメインの追加
第14回 子ドメインやドメインツリーを追加する時のDNS設定
第13回 逆引き参照ゾーンの追加
第12回 前方参照ゾーンの追加
第11回 ドメインコントローラの追加
第10回 Active Directoryデータベースのサイズ計算
第9回 Active Directoryの新規構成(Windows Server 2003)
第8回 Active Directoryの新規構成(Windows Server 2008)
第7回 7 Active Directoryの新規構成(基本)
第6回 ドメイン構成とドメイン名の決定
第5回 Active Directoryの構成要素(2)
第4回 Active Directoryの構成要素(1)
第3回 Windowsサーバのクライアントライセンス
第2回 Windowsサーバのライセンス
第1回 Active Directoryとは何か

もっと見る

Active Directoryは今年で10周年!

関連したタグ

    関連サイト

    新着記事

    転職ノウハウ

    あなたの仕事適性診断
    あなたの仕事適性診断

    4つの診断で、自分の適性を見つめなおそう!

    Heroes File ~挑戦者たち~
    Heroes File ~挑戦者たち~

    働くこと・挑戦し続けることへの思いを綴ったインタビュー

    はじめての転職診断
    はじめての転職診断

    あなたにピッタリのアドバイスを読むことができます。

    転職Q&A
    転職Q&A

    転職に必要な情報が収集できます

    ドS美人面接官 vs モテたいエンジニア
    ドS美人面接官 vs モテたいエンジニア

    入室しようとしたら、マサカリ投げられちゃいました!?

    特別企画

    一覧

      人気記事

      一覧

      イチオシ記事

      新着記事

      特別企画

      一覧

        求人情報