グループ、OU、コンピュータアカウントは、本来はまったく異なる種類のオブジェクトだが、どちらも設定可能なプロパティ項目が少ないため、プロパティ変更については一括して解説する。現実問題として、変更する可能性があるプロパティは説明文(コメント)ぐらいのものだろう。
[Active Directoryユーザーとコンピュータ]管理ツールを使用する方法
[Active Directoryユーザーとコンピュータ]管理ツールでグループ・OU・コンピュータアカウントのプロパティを変更するには、以下の手順を使用する。
[Active Directoryユーザーとコンピュータ]管理ツールを起動する。
左側のツリー画面で、設定を変更したいオブジェクトがある場所(ドメイン、OUまたはコンテナ)を選択する。
グループ、あるいはコンピュータアカウントの場合、右側の一覧で設定を変更したいオブジェクトを選択して、[操作]-[プロパティ]、あるいは右クリックして[プロパティ]を選択する。OUの場合、選択対象は左側のツリー画面にあるOUも使用できる。
続いて表示するダイアログで、プロパティを設定、あるいは変更する。設定できる内容やダイアログの構成は、オブジェクトによって異なる。
5a. グループの場合、名前、説明文、管理者の変更が可能だ。ユーザーアカウントと同様、グループも内部的にはSID(Security Identifier)で管理しているので、名称を変更しても、当該グループに対して設定していたアクセス権はそのまま維持される。管理者については、[管理者がメンバシップ一覧を変更できる]チェックボックスをオンにすると、管理者に指名したユーザーがグループのメンバ情報を管理できるようになる。
5b. コンピュータアカウントの場合、説明文と設置場所の指定、あるいは変更が可能だ。説明文は[全般]タブで、設置場所は[場所]タブで指定する。なお、コンピュータ名の変更はできないので、変更が必要になったときには削除と再作成が必要になる。
5c. OUの場合、[全般]タブで説明文と所在地情報の設定、あるいは変更が可能だ。名前の変更は行えないが、[Active Directoryユーザーとコンピュータ]管理ツールで[操作]-[名前の変更]、あるいは右クリックして[名前の変更]を選択する方法で変更できる。
- いずれも、設定が完了したら[OK]をクリックしてダイアログを閉じると、設定変更が反映される。
なお、この方法ではグループの種類は変更できないので、種類を変更したい場合にはいったんグループを削除して、再作成する作業が必要になる。OUと異なり、グループを削除しても、そこに所属しているオブジェクトは削除されない。しかし、元と同じメンバーを復元するには、所属していたメンバーの一覧をメモしておくなど、設定を記録する作業が必要になる。
dsmodコマンドを使用する方法
Windows Server 2003以降のActive Directoryでは、オブジェクトのプロパティを変更するコマンドとしてdsmodコマンドがある。OUが対象の場合にはdsmod ouコマンド、コンピュータアカウントが対象の場合にはdsmod computerコマンド、グループが対象の場合にはdsmod groupコマンドを使用する。
いずれのコマンドでも、説明文の設定に引数「-desc」を使用する。また、コンピュータアカウントの所在地情報は引数「-loc」を使用する。どちらも、説明文や所在地がスペースを含む場合には、引用符(" ")で囲む必要がある。
なお、dsmod ouコマンドには引数「-loc」がないため、所在地情報は変更できない。所在地情報の変更には[Active Directoryユーザーとコンピュータ]管理ツールが必須となる。
以下に、それぞれのコマンドの実行例を示す。
ドメイン「ad-domain.company.local」にあるOU「Sales」の説明を「営業部のOU」に変更
dsmod ou ou=Sales,dc=ad-domain,dc=company,dc=local -desc "営業部のOU"
「ad-domain.company.local」ドメインのコンテナ「Computers」にあるコンピュータアカウント「ARTEMIS」に、「社長のPC」という説明と「本社5F」という所在地情報を設定
dsmod computer cn=artemis,cn=computers,dc=ad-domain,dc=company,dc=local -desc "社長のPC" -loc "本社5F"
「ad-domain.company.local」ドメインのOU「Clients」にあるコンピュータアカウント「HELIOS」に、「実験用PC」という説明と「本社3F」という所在地情報を設定
dsmod computer cn=helios,ou=clients,dc=ad-domain,dc=company,dc=local -desc "実験用PC" -loc "本社3F"
ドメイン「ad-domain.company.local」内のOU「Clients」にあるグループ「Sales_RW」に、「営業部 読み書き可能」という説明を追加
dsmod group cn=Sales_RW,ou=Clients,dc=ad-domain,dc=company,dc=local -desc "営業部 読み書き可能"
オブジェクトの識別名変更と名前変更
先週の本連載で取り上げたユーザーアカウントと同様、OU、コンピュータアカウント、グループについても、「名前」に関して変更できる対象が複数存在する場合があるので、注意が必要だ。
そのため、最初にdsqueryコマンドでオブジェクトと識別名の一覧を表示させて、対象を確認するようにしたい。それぞれ「dsquery ou」「dsquery computer」「dsquery group」と入力すればよい。
OUの場合、変更の対象は識別名しか存在しない。dsmoveコマンドと引数「-newname」を使用して、新しい識別名を指定する。
グループの場合、識別名と、Windows 2000より前のOSで使用するグループ名の2種類が変更対象になる。
識別名の変更はdsmoveコマンドと引数「-newname」の組み合わせを使用する。一方、Windows 2000より前のOSで使用するグループ名はnet groupコマンドやnet localgroupコマンドで使用するもので、dsmod groupコマンドと引数「-samid」の組み合わせを使用すると変更できる。
以下に、それぞれの実行例を示す。
「ad-domain.company.local」ドメインのコンテナ「Users」にあるグループ「Sample1」について、識別名を「Sample2」に変更
dsmove cn=Sample1,cn=Users,dc=ad-domain,dc=company,dc=local -newname Sample2
「ad-domain.company.local」ドメインのコンテナ「Users」にあるグループ「Sample1」について、Windows 2000以前のOSで使用するグループ名を「Sample2」に変更
dsmod group cn=Sample1,cn=Users,cn=ad-domain,cn=company,cn=local -samid Sample2
コンピュータアカウントの場合、識別名はdsmoveコマンドによって変更できるが、Windows 2000より前のOSで使用するコンピュータ名は変更できない。また、コンピュータ名を変更する際には、当該PCのドメイン離脱・再参加とコンピュータアカウントの再作成を行うのが通常の手順なので、コンピュータアカウントについて、名前変更を行う必要はないだろう。