先週は、グループのプロパティを変更してメンバの追加/削除を行う方法について解説した。この方法は、特定のグループに対して複数のメンバを追加する場合には具合がよいが、特定のユーザーアカウントやグループについて、立て続けに複数のグループに所属させる処理を行う際には煩雑だ。
そのような場面では、グループのメンバとなるユーザーアカウントなどのプロパティ画面で、所属するグループを指定する方法の方が便利だ。結果は同じだが、所属するグループを続けて指定できるので、こちらの方が効率が良い。
対象をユーザーアカウントではなくグループにすると、グループの入れ子も設定できる。もちろん、設定できるのはグループの入れ子に関するルールに適ったものだけだ。
オブジェクトに対して所属グループを指定(管理ツール編)
ユーザーアカウントなどのオブジェクトで所属するグループを指定する際の基本は、[Active Directoryユーザーとコンピュータ]管理ツールを使用する方法だ。手順は以下のようになる。もちろん、追加も削除も可能だ。
[Active Directoryユーザーとコンピュータ]管理ツールを起動する。
左側のツリー画面で、目的のオブジェクトがある場所(ドメイン、OUまたはコンテナ)を選択する。
右側の一覧で、目的のオブジェクトをダブルクリックするか、[操作]-[プロパティ]、あるいは右クリックして[プロパティ]を選択する。
所属するグループを追加するには、続いて表示するダイアログの[所属するグループ]タブで[追加]をクリックする。
続いて表示するダイアログで、所属させたいグループを指定して[OK]をクリックする。この操作を、必要なだけ繰り返す。グループ名を手作業で入力するときには、「<ドメイン名>\<グループ名>」形式で記述する。このとき、半角のセミコロンで区切って複数を列挙することもできる。
所属するグループを削除するには、[所属するグループ]タブの一覧で削除したいグループ名を選択して、[削除]をクリックする。
「4.」~「6.」の操作によって、所属するグループが意図した内容になったら、最後に[OK]をクリックして設定を確定させる。
オブジェクトに対して所属グループを指定(コマンド編)
dsmod userコマンドやdsmod groupコマンドには「-memberof」という引数があり、コマンド名に続けてLDAP識別名で指定したユーザーアカウントやグループについて、「どのグループに所属させるか」という指定を行える。net userコマンド、net groupコマンド、net localgroupコマンドには、こうした機能はない。
以下に、ユーザーアカウントを対象としてdsmod userを使用した例を示す。グループを対象とする場合、コマンドがdsmod groupコマンドに変わる。
ドメイン「ad-domain.company.local」内のコンテナ「Users」に配置したユーザー「kojii」を、ドメイン「ad-domain.company.local」内のOU「Tokyo」に配置したグループ「Sales_RW」にに所属させる
dsmod user cn=kojii,cn=Users,dc=ad-domain,dc=company,dc=local -memberof ou=Sales_RW,cn=Users,dc=ad-domain,dc=company,dc=local
ドメイン「ad-domain.company.local」内のコンテナ「Users」に配置したユーザー「kojii」を、ドメイン「ad-domain.company.local」内のコンテナ「Users」に配置したグループ「Domain Admins」に所属させる
dsmod user cn=kojii,cn=Users,dc=ad-domain,dc=company,dc=local -memberof "cn=Domain Admins,cn=Users,dc=ad-domain,dc=company,dc=local"
後者の実行例ではグループ名がスペースを含んでいるため、LDAP識別名全体を引用符で囲んでいる点に留意されたい。
プライマリグループの変更
最後に、プライマリグループについて触れておこう。
ユーザーアカウントでもグループでも、同時に複数のグループのメンバになれる。そこで関わってくるのが、プライマリグループだ。
Active Directoryの管理下にあるすべてのユーザー アカウントではプライマリグループが決められていて、プライマリグループに指定したグループに対する所属は解除できない。そのため、どのユーザーアカウントも最低ひとつのグループに所属しなければならないということになる。ユーザーアカウントを追加すると自動的にDomain Usersグループのメンバになるため、初期状態では常に、Domain Usersがプライマリグループになる。
所属するグループがひとつしかない場合、それがプライマリグループになる。さらに所属するグループを追加した場合、当初に設定していたプライマリグループを、別のグループに変更できるようになる。
この設定は、[Active Directoryユーザーとコンピュータ]管理ツールで行う。手順は以下の通りだ。なお、すでにグループへの所属はすべて設定済みになっているものとする。
[Active Directoryユーザーとコンピュータ]管理ツールを起動する。
左側のツリー画面で、目的のユーザーアカウントがある場所(ドメイン、OUまたはコンテナ)を選択する。
右側の一覧で、目的のユーザーアカウントをダブルクリックするか、[操作]-[プロパティ]、あるいは右クリックして[プロパティ]を選択する。
続いて表示するダイアログの[所属するグループ]タブで、[所属するグループ]リストボックスにあるグループ一覧の中から、プライマリグループにしたいグループを選択する。(この時点でプライマリグループになっているグループは、[プライマリグループ]の右側に表示してある)
続いて[プライマリ グループの設定]をクリックすると、プライマリグループを変更できる。この操作により、[プライマリグループ]の右側に表示してあるプライマリグループ名が変化するはずだ。
最後に[OK]をクリックして設定を確定させる。