【連載】

にわか管理者のためのActive Directory入門

【第45回】所属するグループの指定とプライマリグループ

[2009/05/25 15:07]井上孝司 ブックマーク ブックマーク

  • サーバ/ストレージ

サーバ/ストレージ

先週は、グループのプロパティを変更してメンバの追加/削除を行う方法について解説した。この方法は、特定のグループに対して複数のメンバを追加する場合には具合がよいが、特定のユーザーアカウントやグループについて、立て続けに複数のグループに所属させる処理を行う際には煩雑だ。

そのような場面では、グループのメンバとなるユーザーアカウントなどのプロパティ画面で、所属するグループを指定する方法の方が便利だ。結果は同じだが、所属するグループを続けて指定できるので、こちらの方が効率が良い。

対象をユーザーアカウントではなくグループにすると、グループの入れ子も設定できる。もちろん、設定できるのはグループの入れ子に関するルールに適ったものだけだ。

オブジェクトに対して所属グループを指定(管理ツール編)

ユーザーアカウントなどのオブジェクトで所属するグループを指定する際の基本は、[Active Directoryユーザーとコンピュータ]管理ツールを使用する方法だ。手順は以下のようになる。もちろん、追加も削除も可能だ。

  1. [Active Directoryユーザーとコンピュータ]管理ツールを起動する。

  2. 左側のツリー画面で、目的のオブジェクトがある場所(ドメイン、OUまたはコンテナ)を選択する。

  3. 右側の一覧で、目的のオブジェクトをダブルクリックするか、[操作]-[プロパティ]、あるいは右クリックして[プロパティ]を選択する。

  4. 所属するグループを追加するには、続いて表示するダイアログの[所属するグループ]タブで[追加]をクリックする。

  5. 続いて表示するダイアログで、所属させたいグループを指定して[OK]をクリックする。この操作を、必要なだけ繰り返す。グループ名を手作業で入力するときには、「<ドメイン名>\<グループ名>」形式で記述する。このとき、半角のセミコロンで区切って複数を列挙することもできる。

  6. 所属するグループを削除するには、[所属するグループ]タブの一覧で削除したいグループ名を選択して、[削除]をクリックする。

  7. 「4.」~「6.」の操作によって、所属するグループが意図した内容になったら、最後に[OK]をクリックして設定を確定させる。

ユーザーアカウントやグループのプロパティ画面にある[所属するグループ]タブでは、そのオブジェクトがどのグループに所属するかを指定できる

オブジェクトに対して所属グループを指定(コマンド編)

dsmod userコマンドやdsmod groupコマンドには「-memberof」という引数があり、コマンド名に続けてLDAP識別名で指定したユーザーアカウントやグループについて、「どのグループに所属させるか」という指定を行える。net userコマンド、net groupコマンド、net localgroupコマンドには、こうした機能はない。

以下に、ユーザーアカウントを対象としてdsmod userを使用した例を示す。グループを対象とする場合、コマンドがdsmod groupコマンドに変わる。

ドメイン「ad-domain.company.local」内のコンテナ「Users」に配置したユーザー「kojii」を、ドメイン「ad-domain.company.local」内のOU「Tokyo」に配置したグループ「Sales_RW」にに所属させる

dsmod user cn=kojii,cn=Users,dc=ad-domain,dc=company,dc=local -memberof ou=Sales_RW,cn=Users,dc=ad-domain,dc=company,dc=local

ドメイン「ad-domain.company.local」内のコンテナ「Users」に配置したユーザー「kojii」を、ドメイン「ad-domain.company.local」内のコンテナ「Users」に配置したグループ「Domain Admins」に所属させる

dsmod user cn=kojii,cn=Users,dc=ad-domain,dc=company,dc=local -memberof "cn=Domain Admins,cn=Users,dc=ad-domain,dc=company,dc=local"

後者の実行例ではグループ名がスペースを含んでいるため、LDAP識別名全体を引用符で囲んでいる点に留意されたい。

プライマリグループの変更

最後に、プライマリグループについて触れておこう。

ユーザーアカウントでもグループでも、同時に複数のグループのメンバになれる。そこで関わってくるのが、プライマリグループだ。

Active Directoryの管理下にあるすべてのユーザー アカウントではプライマリグループが決められていて、プライマリグループに指定したグループに対する所属は解除できない。そのため、どのユーザーアカウントも最低ひとつのグループに所属しなければならないということになる。ユーザーアカウントを追加すると自動的にDomain Usersグループのメンバになるため、初期状態では常に、Domain Usersがプライマリグループになる。

所属するグループがひとつしかない場合、それがプライマリグループになる。さらに所属するグループを追加した場合、当初に設定していたプライマリグループを、別のグループに変更できるようになる。

この設定は、[Active Directoryユーザーとコンピュータ]管理ツールで行う。手順は以下の通りだ。なお、すでにグループへの所属はすべて設定済みになっているものとする。

  1. [Active Directoryユーザーとコンピュータ]管理ツールを起動する。

  2. 左側のツリー画面で、目的のユーザーアカウントがある場所(ドメイン、OUまたはコンテナ)を選択する。

  3. 右側の一覧で、目的のユーザーアカウントをダブルクリックするか、[操作]-[プロパティ]、あるいは右クリックして[プロパティ]を選択する。

  4. 続いて表示するダイアログの[所属するグループ]タブで、[所属するグループ]リストボックスにあるグループ一覧の中から、プライマリグループにしたいグループを選択する。(この時点でプライマリグループになっているグループは、[プライマリグループ]の右側に表示してある)

  5. 続いて[プライマリ グループの設定]をクリックすると、プライマリグループを変更できる。この操作により、[プライマリグループ]の右側に表示してあるプライマリグループ名が変化するはずだ。

  6. 最後に[OK]をクリックして設定を確定させる。

一覧でグループを選択してから[プライマリグループの設定]をクリックすると、ユーザーアカウントのプライマリグループを変更できる。プライマリグループに指定したグループへの所属は解除できない

796
2
【連載】にわか管理者のためのActive Directory入門 [45] 所属するグループの指定とプライマリグループ
先週は、グループのプロパティを変更してメンバの追加/削除を行う方法について解説した。今週はグループのメンバとなるユーザーアカウントなどのプロパティ画面で、所属するグループを指定する方法を紹介する。
https://news.mynavi.jp/itsearch/2015/10/13/ad045/index.top.jpg
先週は、グループのプロパティを変更してメンバの追加/削除を行う方法について解説した。今週はグループのメンバとなるユーザーアカウントなどのプロパティ画面で、所属するグループを指定する方法を紹介する。

会員新規登録

初めてご利用の方はこちら

会員登録(無料)

マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
人事・経理・総務で役立つ! バックオフィス系ソリューション&解説/事例記事まとめ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

ページの先頭に戻る