OU、コンピュータアカウント、グループのプロパティ変更

グループ、OU、コンピュータアカウントは、本来はまったく異なる種類のオブジェクトだが、どちらも設定可能なプロパティ項目が少ないため、プロパティ変更については一括して解説する。現実問題として、変更する可能性があるプロパティは説明文(コメント)ぐらいのものだろう。

[Active Directoryユーザーとコンピュータ]管理ツールを使用する方法

[Active Directoryユーザーとコンピュータ]管理ツールでグループ・OU・コンピュータアカウントのプロパティを変更するには、以下の手順を使用する。

1. [Active Directoryユーザーとコンピュータ]管理ツールを起動する。

2. 左側のツリー画面で、設定を変更したいオブジェクトがある場所(ドメイン、OUまたはコンテナ)を選択する。

3. グループ、あるいはコンピュータアカウントの場合、右側の一覧で設定を変更したいオブジェクトを選択して、[操作]-[プロパティ]、あるいは右クリックして[プロパティ]を選択する。OUの場合、選択対象は左側のツリー画面にあるOUも使用できる。

4. 続いて表示するダイアログで、プロパティを設定、あるいは変更する。設定できる内容やダイアログの構成は、オブジェクトによって異なる。

5a. グループの場合、名前、説明文、管理者の変更が可能だ。ユーザーアカウントと同様、グループも内部的にはSID(Security Identifier)で管理しているので、名称を変更しても、当該グループに対して設定していたアクセス権はそのまま維持される。管理者については、[管理者がメンバシップ一覧を変更できる]チェックボックスをオンにすると、管理者に指名したユーザーがグループのメンバ情報を管理できるようになる。

5b. コンピュータアカウントの場合、説明文と設置場所の指定、あるいは変更が可能だ。説明文は[全般]タブで、設置場所は[場所]タブで指定する。なお、コンピュータ名の変更はできないので、変更が必要になったときには削除と再作成が必要になる。

5c. OUの場合、[全般]タブで説明文と所在地情報の設定、あるいは変更が可能だ。名前の変更は行えないが、[Active Directoryユーザーとコンピュータ]管理ツールで[操作]-[名前の変更]、あるいは右クリックして[名前の変更]を選択する方法で変更できる。

1. いずれも、設定が完了したら[OK]をクリックしてダイアログを閉じると、設定変更が反映される。

なお、この方法ではグループの種類は変更できないので、種類を変更したい場合にはいったんグループを削除して、再作成する作業が必要になる。OUと異なり、グループを削除しても、そこに所属しているオブジェクトは削除されない。しかし、元と同じメンバーを復元するには、所属していたメンバーの一覧をメモしておくなど、設定を記録する作業が必要になる。

dsmodコマンドを使用する方法

Windows Server 2003以降のActive Directoryでは、オブジェクトのプロパティを変更するコマンドとしてdsmodコマンドがある。OUが対象の場合にはdsmod ouコマンド、コンピュータアカウントが対象の場合にはdsmod computerコマンド、グループが対象の場合にはdsmod groupコマンドを使用する。

いずれのコマンドでも、説明文の設定に引数「-desc」を使用する。また、コンピュータアカウントの所在地情報は引数「-loc」を使用する。どちらも、説明文や所在地がスペースを含む場合には、引用符(" ")で囲む必要がある。

なお、dsmod ouコマンドには引数「-loc」がないため、所在地情報は変更できない。所在地情報の変更には[Active Directoryユーザーとコンピュータ]管理ツールが必須となる。

以下に、それぞれのコマンドの実行例を示す。

ドメイン「ad-domain.company.local」にあるOU「Sales」の説明を「営業部のOU」に変更

dsmod ou ou=Sales,dc=ad-domain,dc=company,dc=local -desc "営業部のOU"

「ad-domain.company.local」ドメインのコンテナ「Computers」にあるコンピュータアカウント「ARTEMIS」に、「社長のPC」という説明と「本社5F」という所在地情報を設定

dsmod computer cn=artemis,cn=computers,dc=ad-domain,dc=company,dc=local -desc "社長のPC" -loc "本社5F"

「ad-domain.company.local」ドメインのOU「Clients」にあるコンピュータアカウント「HELIOS」に、「実験用PC」という説明と「本社3F」という所在地情報を設定

dsmod computer cn=helios,ou=clients,dc=ad-domain,dc=company,dc=local -desc "実験用PC" -loc "本社3F"

ドメイン「ad-domain.company.local」内のOU「Clients」にあるグループ「Sales_RW」に、「営業部 読み書き可能」という説明を追加

dsmod group cn=Sales_RW,ou=Clients,dc=ad-domain,dc=company,dc=local -desc "営業部 読み書き可能"

オブジェクトの識別名変更と名前変更

先週の本連載で取り上げたユーザーアカウントと同様、OU、コンピュータアカウント、グループについても、「名前」に関して変更できる対象が複数存在する場合があるので、注意が必要だ。

そのため、最初にdsqueryコマンドでオブジェクトと識別名の一覧を表示させて、対象を確認するようにしたい。それぞれ「dsquery ou」「dsquery computer」「dsquery group」と入力すればよい。

OUの場合、変更の対象は識別名しか存在しない。dsmoveコマンドと引数「-newname」を使用して、新しい識別名を指定する。

グループの場合、識別名と、Windows 2000より前のOSで使用するグループ名の2種類が変更対象になる。

識別名の変更はdsmoveコマンドと引数「-newname」の組み合わせを使用する。一方、Windows 2000より前のOSで使用するグループ名はnet groupコマンドやnet localgroupコマンドで使用するもので、dsmod groupコマンドと引数「-samid」の組み合わせを使用すると変更できる。

以下に、それぞれの実行例を示す。

「ad-domain.company.local」ドメインのコンテナ「Users」にあるグループ「Sample1」について、識別名を「Sample2」に変更

dsmove cn=Sample1,cn=Users,dc=ad-domain,dc=company,dc=local -newname Sample2

「ad-domain.company.local」ドメインのコンテナ「Users」にあるグループ「Sample1」について、Windows 2000以前のOSで使用するグループ名を「Sample2」に変更

dsmod group cn=Sample1,cn=Users,cn=ad-domain,cn=company,cn=local -samid Sample2

コンピュータアカウントの場合、識別名はdsmoveコマンドによって変更できるが、Windows 2000より前のOSで使用するコンピュータ名は変更できない。また、コンピュータ名を変更する際には、当該PCのドメイン離脱・再参加とコンピュータアカウントの再作成を行うのが通常の手順なので、コンピュータアカウントについて、名前変更を行う必要はないだろう。