Active Directoryの運用では、さまざまなActive Directoryオブジェクトを作成することになる。代表的なオブジェクトとしては、「ユーザー・オブジェクト」「グループ・オブジェクト」「コンピュータ・オブジェクト」などがあるが、これら多数のオブジェクトが1つの格納場所に存在すると管理しにくい。このような場合には、オブジェクトを格納するためのオブジェクトとして「組織単位(OU)」を作成するとよい。
OUは、管理者が管理しやすい単位で作成してよいオブジェクトである(ユーザーの役職などの上下関係といった階層構造を表現するためのものではない)。だが管理者が自由に作成してよいといっても、あまり作りすぎると逆に管理しにくくなるし、複雑になってしまう。できるだけシンプルにOUの階層構造を作成するのがよいだろう。例えば、第1階層には地域ごとのOU、第2階層には組織ごとの階層といった具合だ。
また、OUにはグループ・ポリシーの割り当てや管理の委任ができるため、管理範囲やグループ・ポリシーによる制限単位でOUを構成しておくと、機能的なOU構造を構成できる。
ディレクトリ・サービスでは、ユーザー・オブジェクト(ユーザー・アカウント)をはじめとするネットワーク上のリソースを集中的に管理することができる。ユーザー・オブジェクトを構成することにより、組織内でコンピュータを利用する従業員に対し、適切なセキュリティとコンピュータの使用環境を提供できるようになる。
[F]
ここまでの手順でユーザー・オブジェクトの作成は完了である。こうしてユーザー・オブジェクトを追加すれば、ユーザーは自分用のユーザーIDを利用してコンピュータからログオンできるようになる。
今回はユーザーの作成方法として、複数ユーザー・オブジェクトの一括作成のコマンドを紹介しておこう。ほかのオブジェクトと比較すると、ユーザーやグループ・オブジェクトを作成する機会は多いので、1つ1つ作成するより、コマンドを利用して作成する方が効率よく作業できる。
ユーザーやグループ・オブジェクトを一括作成するには、Windows 2000 Serverで提供されているCSVDE.EXEやLDIFDE.EXEコマンドが利用できる。
「CSVDE(CSV Directory Exchange)」コマンドは、オブジェクトのプロパティ値をカンマ区切りで記述したCSV形式のファイルをインポートできる。CSV形式(カンマ区切り)のファイルはExcelなどのアプリケーションで編集できるため、複数ユーザーを作成する管理者の方には使いやすいコマンドだろう。
「LDIFDE(LDIF Directory Exchange)」コマンドは、プロパティ値を行区切りで記述したLDIF形式のファイルをインポートできる。LDIF(LDAP Data Interchange Format)とは、RFC2849で定義されている、LDAP準拠のディレクトリ・サービスでデータを交換する場合に利用される標準ファイル・フォーマットである。LDIFDEコマンドの具体的な利用方法については、サポート技術情報の「LDIFDEを使用したディレクトリ オブジェクトのADへのインポート/エクスポート」を参照していただきたい。
今回は、CSVDEによる登録の例を紹介しておこう。CSV形式ファイルをインポートする手順は次のとおりである。
最初に、ユーザーごとの属性を記述したCSV形式ファイルを用意する、このとき先頭行には、次のようなタイトル(属性を表す文字列)をカンマ区切りで並べておく。
属性名 | 意味 |
---|---|
DN | 識別名。例:"CN=Yamada Taro,OU=TokyoOU,DC=domain,DC=local" |
objectClass | オブジェクト・クラス。ユーザーを追加する場合はuser、グループの場合はgroup、コンピュータはcomputerとする |
sAMAccountName | ユーザー・ログオン名(Windows 2000以前の互換ログオン名)。例:Tyamada |
userPrincipalName | ユーザー・ログオン名(Active Directory環境で利用されるユーザー名)。例:Tyamada@domain.local |
displayName | 表示名。例:山田 太郎 |
userAccountControl | ユーザー・アカウントの属性。通常のユーザー・アカウントなら512とする |
オブジェクトを一括登録する場合のCSVファイルの属性 新しくユーザーを登録するためには、このような項目が記述されたCSVファイルをCSVDEコマンドに与える。これ以外にもいくつか利用できる属性があるが、詳細についてはここでは述べない。「Csvde を使用して連絡先およびユーザー オブジェクトを Active Directory にインポートする方法」や「Active Directory Schema(英語ドキュメント)」、およびこれらの文書中の関連ドキュメントなどを参照していただきたい(ただし、すべての属性を定義してインポートできるわけではない)。 |
2行目以降には、ユーザーごとの属性を、1行ずつ記述する。実際には、次のようなファイルを用意する。
サンプル・ファイルは以下のリンクから入手できる。これをクリックし、「user.csv」という名前でファイルに保存してCSVDEコマンドに与えると、自動的にユーザーが登録される。
このファイルを使って一括登録するには、コマンド・プロンプト上で「CSVDE -i -f ファイル名」を実行する。
C:\>csvde -i -f user.csv
"(null)" に接続しています
SSPI を使って現在のユーザーとしてログインしています
ファイル "user.csv" からディレクトリをインポートしています
エントリを読み込んでいます....................(一部省略)
52 個のエントリを正しく修正しました。
コマンドが正しく完了しました
C:\>
Copyright© Digital Advantage Corp. All Rights Reserved.