今週は、ユーザーアカウントの追加について取り上げよう。

ユーザーアカウントを作成する際に決めておかなければならない項目としては、先週の本連載で取り上げたユーザー名(ユーザーログオン名)、表示名、パスワードがある。Active Directoryのユーザーアカウントでは、これ以外にもさまざまなプロパティの指定が可能だが、それは後からでも設定できる。

ユーザーアカウントの作成(管理ツール編)

まず、[Active Directoryユーザーとコンピュータ]管理ツールで、ユーザーアカウントを作成する方法について解説する。

  1. [Active Directoryユーザーとコンピュータ]管理ツールを起動する。

  2. 左側のツリー画面で、ユーザーアカウントを作成する場所(ドメイン、OUまたはコンテナ)を選択する。

  3. [操作]-[新規作成]-[ユーザー]、あるいは右クリックして[新規作成]-[ユーザー]を選択する。画面右側の一覧表示部で右クリックしてもよい。

  4. 続いて表示するダイアログで、[姓][名][名前][ユーザーログオン名][ダウンレベルログオン名]を指定する。ただし、以下のように自動生成する項目もある。

・[名前]については、[姓]と[名]を入力してからこの項にカーソルを移動すると、[姓]と[名]を連結して自動生成する
・[ダウンレベルログオン名]は、[ユーザーログオン名]を入力すると、それと同じものを自動設定する。ただし、[ダウンレベルログオン名]には最長15文字という制約があるため、[ユーザーログオン名]に15文字を超える名前を入力すると、16文字目以降は切り捨てられる。両社は一致している方が分かりやすいので、ユーザーログオン名を15文字以内にするのが無難だ 

まず、ユーザーの表示名とログオン名を指定する

  1. [次へ]をクリックすると表示する画面で、パスワードを指定する。入力が大変になるので、パスワードは英数字と記号以外は使用しない方がよい。なお、英字の大文字・小文字は区別する。また、パスワード以外に以下のチェックボックスがあり、オン/オフを指定できる。
・[ユーザーは次回ログオン時にパスワード変更が必要]
・[ユーザーはパスワードを変更できない]
・[パスワードを無期限にする]
・[アカウントを無効にする]

次の画面で、パスワードに関する設定を行う

[ユーザーは次回ログオン時にパスワード変更が必要]は、既定のパスワードをそのまま使い続けないようにするためのものだ。逆に[ユーザーはパスワードを変更できない]をオンにすると、ユーザー本人はパスワードを変更できず、管理者しか変更できなくなる。

  1. [次へ]をクリックすると表示する確認画面で[完了]をクリックすると、ユーザーアカウントを作成する。

ユーザーアカウントの作成(コマンド編)

続いて、コマンド操作でユーザーアカウントを作成する方法について解説する。

ユーザーアカウントを作成するコマンドには、net userと、Windows Server 2003から加わったdsadd userコマンドがある。それぞれ、以下のような長所と短所がある。

net user

ランダムなパスワードを自動設定する機能がある
複雑なLDAP識別名を入力しなくてもよい
× ユーザーアカウントの配置場所が固定される(既定値ではコンテナ「Users」)

dsadd user

LDAP識別名で指定するため、入力は面倒だが配置場所の指定は自由
ユーザーアカウントに付随するプロパティまで、まとめて指定できる
× ランダムなパスワードを自動設定する機能はない

以下に、さまざまなコマンド実行例を示す。なお、dsadd userコマンドでは、ユーザーログオン名ではなく、ユーザーアカウントの識別名を指定する。その場合のユーザーログオン名は、LDAP識別名冒頭の「cn=」で指定した内容を流用する。ただし、引数「-samid」を使って明示的に指定することもできる。

ユーザー「kojii」を追加して、パスワードを「3ex5tfx」に設定

net user kojii 3ex5tfx /add

ユーザー「kojii」を追加して、自動生成したランダムなパスワードを設定

net user kojii /add /random

自動設定したパスワードは、コマンド実行後に画面に表示する。それをメモしておいて、ユーザー本人に知らせるようにする。

ユーザー「kojii」を、ドメイン「ad-domain.company.local」内のコンテナ「users」に追加

dsadd user cn=kojii,cn=users,dc=ad-domain,dc=company,dc=local

ユーザー「kojii」を、ドメイン「ad-domain.company.local」内のou「tokyo」に追加

dsadd user cn=kojii,ou=tokyo,dc=ad-domain,dc=company,dc=local

ユーザー「kojii」を、ドメイン「ad-domain.company.local」内のコンテナ「users」に追加して、パスワードを「rock-102」に設定

dsadd user cn=kojii,cn=users,dc=ad-domain,dc=company,dc=local -pwd rock-102

ユーザーアカウントのコピー

ユーザーアカウントについては、新規作成ではなく、既存のユーザーアカウントをコピーする方法がある。名前、ユーザーログオン名、パスワードについては指定しなければならないが、それ以外のプロパティについては、コピー元となったユーザーアカウントのものをそのまま引き継ぐ。

使用するのは[Active Directoryユーザーとコンピュータ]管理ツールで、手順は以下の通りだ。

  1. 左側のツリー画面で、コピー元のユーザーアカウントがあるドメイン、OU、あるいはコンテナを選択する。

  2. 画面右側の一覧でコピー元にするアカウントを選択してから、[操作]-[コピー]、あるいは右クリックして[コピー]を選択する。

  3. 続いて表示するダイアログで、姓、名、ユーザー ログオン名、パスワードを指定する。

この方法は、既定値と異なるユーザーアカウントのプロパティを設定している場合に有用だ。ユーザーアカウントを作成する度にいちいち設定し直すのと比べると、設定忘れが起きにくいためだ。

なお、コピー元については雛形となるダミーのアカウントを作成しておく方がよい。

既存のユーザーアカウントをコピーする方法でも、ユーザーアカウントの追加が可能。雛形となるダミーのユーザーアカウントを用意しておいて、それをコピーするとよい