【Windows 10/11】「net user」コマンドでユーザーアカウントをコマンドラインから管理する:Tech TIPS(2/2 ページ)
Windows OSでは「net user」コマンドを利用すると、コマンドプロンプト上でユーザーアカウントの作成や削除、グループ属性やパスワードの変更などの操作が簡単に行える。ただしActive Directoryで拡張された属性は操作できないなど、いくらか制限もあるので注意が必要だ。
「net user <アカウント名>」コマンドを使うと、ユーザーアカウントが所属するグループを確認できることはすでに述べた。そのグループの一覧を確認したり、グループに追加したりする方法を解説しよう。
ユーザーアカウントをローカルグループのメンバーにする
ローカルPCごとに固有のグループを「ローカルグループ」という。ローカルPC上にどのようなグループがあるかは、以下のコマンドラインで確認できる。
net localgroup
アカウントをいずれかのローカルグループのメンバーに追加するには、以下のコマンドラインを実行する(削除する場合は「/add」の代わりに「/delete」オプションを指定する)。
net localgroup <ローカルグループ名> <アカウント名> /add
上記のコマンドラインでは、ユーザーアカウントだけでなく、ローカルグループに別のグループを追加することもできる(一部追加できないグループもあるが)。例えば、「localuser02」というユーザーをローカルのAdministratorsグループに所属させて管理者アカウントにするには、以下の画面のようにする。
標準アカウントと管理者アカウントの違いは、所属しているグループにある。Administratorsグループに所属していると管理者アカウント、Administratorsグループに所属していなければ標準アカウントとなる。
上の画面ではlocaluser02をAdministratorsグループに参加させている。ユーザーアカウントにグループを追加するのではなく、グループのメンバーにユーザーを追加するという操作になる。
ドメインアカウントをローカルグループに追加する場合も、単に前述のコマンドラインで<アカウント名>にドメインアカウントを指定すればよい。ただし、/domainオプションは付けないこと(付けるとドメイン上のグループへの追加になってしまうため)。
ドメインのアカウントをドメイングループのメンバーにする
ドメインのアカウントをドメイングループのメンバーにするには、追加先のドメイングループの種類に応じて以下のようなコマンドラインを実行する。
■ドメインローカルグループに追加
net localgroup <ドメインローカルグループ名> <ドメインアカウント名> /add /domain
■グローバルグループやユニバーサルグループに追加
net group <グローバル/ユニバーサルグループ名> <ドメインアカウント名> /add /domain
削除する場合は、「/add」の代わりに「/delete」オプションを指定する。
なお、ドメインのグループに追加できるのは、ドメインのユーザーアカウントだけだ。ローカルPCのユーザーアカウント(ローカルアカウント)をドメイングループに追加することはできない。
グループの作成や削除
ローカルやドメインのグループ名そのものを作成するには、以下のコマンドラインを実行する。
■ローカルグループの追加
net localgroup <ローカルグループ名> /add
■ドメイングループの追加
net group <ドメイングループ名> /add /domain
削除する場合は、「/add」の代わりに「/delete」オプションを指定する。
[補足]net localgroupとnet groupの違いについて
net localgroupとnet groupコマンドは、操作対象がローカルPCかドメインコントローラかで使い分ける。ただし、/domainオプションを付けた場合は、さらにドメインローカルグループかドメインのグローバル/ユニバーサルグループかで使い分ける。まとめると以下の表のようになる。
「net localgroup」コマンド | 「net group」コマンド | |
---|---|---|
用途 | ローカルなグループに対する操作 | グローバルなグループに対する操作 |
Active Directoryのドメインコントローラ上で実行 | ドメインローカルグループに対する操作 | ドメインのグローバル/ユニバーサルグループに対する操作 |
「/domain」を付けてActive Directoryのメンバーコンピュータ上で実行 | ドメインローカルグループに対する操作 | ドメインのグローバル/ユニバーサルグループに対する操作 |
「/domain」なしでActive Directoryのメンバーコンピュータ上で実行 | ローカルコンピュータ上のグループ(ローカルグループ)に対する操作 | (使えない) |
ドメインに参加していないPC(ワークグループ構成のPC)上で実行 | ローカルコンピュータ上のグループ(ローカルグループ)に対する操作 | (使えない) |
net localgroupとnet groupコマンドの違い |
グループの種類や、ドメインのローカルとグローバルの違いなどについては、次の記事も参照のこと。
- ユーザーとグループアカウント(Windows OS入門)
- Windowsのグループアカウントの種類を知る(Tech TIPS)
アカウント情報の設定
ユーザーアカウントには、「フルネーム」や「コメント」などの情報を設定できる。このためには「/fullname」「/comment」のオプションを利用する。
■フルネームの設定
net user <アカウント名> /fullname:"<フルネーム>"
■コメントの設定
net user <アカウント名> /comment:"<コメント>"
アカウントのロックアウトの解除
サインイン時にパスワードの入力を何度かミスすると、一時的にアカウントがロックされ、しばらく(デフォルトでは30分)サインインできなくなるように設定できる。これをアカウントの「ロックアウト」という。
ロックアウトを解除して、すぐにサインイン可能な状態に戻すためには、「/active」オプションを付けてnet userコマンドを実行する。
■ローカルアカウントの場合
net user <ローカルアカウント名> /active
■ドメインアカウントの場合
net user <ドメインアカウント名> /active /domain
ロックアウト解除の詳細は、Tech TIPS「Windowsでユーザーアカウントのロックアウトを解除する」を参照していただきたい。
ロックアウトされているかどうかは、「net user」コマンドの表示で確認できる。ロックアウトされていると、「アカウント有効」という項目に「ロック」と表示される。
[注意]net userコマンドはActive Directoryの拡張属性には非対応
net userコマンドで閲覧/操作できる属性は、いわゆる(Active Directoryの前身である)Windows NTドメインのアカウント属性だけだ。
メールアドレスの設定やExchange Server関連の属性などは、dsコマンドあるいはPowerShellのGet-ADUser/Set-ADUserコマンドレットのような、Active Directoryに対応したツールを利用する必要がある。
前者の詳細は、Tech TIPS「dsgetやdsmodなどのdsコマンドでActive Directoryのパスワード無期限設定を変更する」を参照していただきたい。
その他のnet userコマンドの使い方
ユーザー/グループアカウントの設定としては、以上の他にも、パスワードの期限やパスワードの強制変更の要求、ログオン/サインイン可能な時間帯の設定などがある。
上記以外のnet userコマンドの詳細については、ヘルプを参照していただきたい。「net user /?」コマンドで短い形式のヘルプが、「net user /help」「net help user」で長い形式のヘルプがそれぞれ表示できる。
Microsoftの公式情報については、以下の「関連リンク」が参考になるだろう。
■関連記事(Windows Server Insider)
■更新履歴
【2024/03/27】Windows 11に対応しました。
【2018/02/22】最新状況を反映して更新しました。
【2016/08/03】Windows 7〜Windows 10に対応しました。
【2006/09/02】初版公開(対象OSはWindows 2000/Windows XP/Windows Server 2003)。
Copyright© Digital Advantage Corp. All Rights Reserved.