コンピュータアカウントのリセットと削除

今週は、コンピュータアカウントに固有の作業である、アカウントのリセットについて取り上げよう。

コンピュータアカウントのリセットが必要になる場面

コンピュータアカウントは、一般サーバとクライアントPCをActive Directoryに参加させる場面で、コンピュータ名を単位として作成する。通常は「コンピュータアカウントの作成」→「一般サーバやクライアントPCのセットアップ」→「Active Directoryへの参加作業」という手順を踏んで終了となるが、問題はOSの再セットアップが必要になった場合だ。

一般サーバやクライアントPCで、OSの再セットアップ、あるいはリカバリディスクによる出荷時状態への復元を行った場合、その時点でActive Directoryへの参加をやり直さなければならない。このとき、そのままではActive Directoryへの参加が不可能であり、コンピュータアカウントのリセットを行う必要がある。

なお、OSの上書きアップグレードを行ったときにはActive Directoryに参加した状態を引き継ぐので、こうした問題はない。また、コンピュータアカウントのリセットも必要ない。Active Directoryから離脱した後で再セットアップもリカバリも行わず、コンピュータ名もそのままの状態で再度、Active Directoryに参加した場合も同様になる。

コンピュータアカウントのリセット手順(管理ツール編)

管理ツールを用いてコンピュータアカウントをリセットするときには、以下の手順で行う。

1. [Active Directoryユーザーとコンピュータ]管理ツールを起動する。

2. 左側のツリー画面で、(ドメイン名)-[Computers]を選択する。

3. 画面右側に、コンピュータアカウントなどの一覧が現れる。その中からリセットしたいコンピュータアカウントを選択して、[操作]-[アカウントのリセット]、あるいは右クリックして[アカウントのリセット]を選択する。

1. 続いて表示する確認メッセージで、[はい]をクリックするとリセットを行い、「アカウント○○は正常にリセットされました」というメッセージを表示する。

コンピュータアカウントのリセット手順(コマンド編)

コマンド操作でコンピュータアカウントをリセットするには、dsmod computerコマンドを使用する。

まず、対象となるコンピュータアカウントをLDAP識別名で指定して、さらに引数「-reset」を付加すると、コンピュータアカウントのリセットを行える。以下に実行例を示す。

ドメイン「ad-domain.company.local」内のコンテナ「Computers」にある、コンピュータ「helios」のアカウントをリセットする

dsmod computer cn=helios,cn=Computers,dc=ad-domain,dc=company,dc=local -reset

コンピュータ名を変更する際の手順

何かの事情があって、一般サーバ、あるいはクライアントPCのコンピュータ名を変更する必要が生じたときには、対応するコンピュータアカウントも作成し直すことになる。そのため、手順は以下のようになる。

1. 対象となる一般サーバ、あるいはクライアントPCを、Active Directoryから離脱させる
2. 対象となる一般サーバ、あるいはクライアントPCのコンピュータ名を変更する
3. Active Directory側では、古いコンピュータ名に対応するコンピュータアカウントを削除する
4. さらに、新しいコンピュータ名に対応するコンピュータアカウントを作成する
5. 対象となる一般サーバ、あるいはクライアントPCを、再度、Active Directoryに参加させる

余談だが、ドメインコントローラのコンピュータ名は、通常の方法では変更できない。rendomコマンドを使用すると変更可能だが、XML文書を手作業で修正する手間がかかる上に、手順そのものも簡単ではない。また、証明書サービスを動作させているコンピュータや、SSL(Secure Socket Layer)を動作させているコンピュータも、名前の変更ができない、あるいは名前の変更に手間がかかる問題がある。

そうした事情もあるので、特にサーバについては事前にきちんと設計して名前を決めておき、後で変更しなくても済むようにしたい。