Deployment of Active Directory 3... オブジェクトの作成と管理
オブジェクトの一括登録
●ユーザーオブジェクトの一括登録
ここでは,ユーザーオブジェクトを一括登録する方法を紹介する。ユーザーオブジェクトを一括登録するには,objectClassの値としてuserを指定する。ユーザーオブジェクトに付随する属性は多数あるのだが,ここでは主なものを紹介するにとどめる。Table 13の解説欄に記述されている内容は,一部を除いて[Active Directoryユーザーとコンピュータ]管理ツールでユーザーオブジェクトのプロパティを表示させたときの項目名に対応しているので,適宜プロパティダイアログボックスと対比してもらいたい。
Table 13 ユーザーオブジェクトに設定可能な属性
属性 | 解説 |
---|---|
DN | 絶対識別名。作成するユーザーオブジェクトの名前と配置を特定する |
sn | 姓 |
givenName | 名 |
displayName | 表示名 |
description | 説明 |
physicalDeliveryOfficeName | 事務所 |
telephoneNumber | 電話番号 |
電子メール | |
wWWHomePage | ホームページ |
userPrincipalName | ユーザーログオン名 |
sAMAccountName | ダウンレベルログオン名 |
userAccountControl | アカウントオプション |
profilePath | プロファイルパス |
scriptPath | ログオンスクリプト |
homeDirectory | ホームディレクトリ |
company | 会社名 |
department | 部署 |
title | 役職 |
たとえば,ユーザーオブジェクトを登録するときに,絶対識別名(DN),姓(sn),名(givenName),表示名(displayName),説明(description),電話番号(telephoneNumber),電子メール(mail),ユーザーログオン名(userPrincipalName),ダウンレベルログオン名(sAMAccountName),アカウントオプション(userAccountControl),会社名(company),部署(department),役職(title),パスワード(passwd)を指定する場合,CSVファイルの1行目のヘッダ行は次のようになる。残念ながら,初期パスワードを与える方法はない。初期パスワードまで指定したければ,WSH(Windows Scripting Host)などでプログラムを作成する必要があるだろう。
objectClass, DN, sn, givenName, displayName, description, telephoneNumber, mail, userPrincipalName, sAMAccountName, userAccountControl, company, department, title
あとは,このヘッダ行に習って2行目以降にデータ行を列挙すればよいだけである。サンプルのCSVファイルをList 1に示そう。運用形態によっては,ユーザーオブジェクト名にアルファベット表記の名前を,姓や名に漢字表記の名前を,それぞれ指定するのもよいだろう。
なお,ここでList 1のアカウントオプション(userAccountControl)に指定されている数値の意味について,簡単に説明しておく。List 1のように512という数値を指定した場合,デフォルト形式のユーザーアカウントを作成することを意味している。デフォルト形式のユーザーアカウントとは,作成した時点で有効になっており,次回ユーザーがログオンしたときにパスワードの変更を求められるようなユーザーアカウントである。アカウントオプションの値は,ユーザーの性質を表す下記のフラグの合計値となっているので,参照していただきたい(表中の数値は16進数で表記されているので,実際にはこれを10進数に変換して指定する必要がある)。
Table 14 アカウントオプションのフラグ
フラグ | 解説 |
---|---|
0x0001 | ログオンスクリプトを実行する |
0x0002 | アカウントを無効にする |
0x0003 | ホームディレクトリが必須となる |
0x0010 | アカウントはロックアウト状態である |
0x0020 | パスワードを不必要にする |
0x0040 | ユーザーはパスワードを変更できない |
0x0080 | 暗号化を元に戻せる状態でパスワードを保存する |
0x0200 | デフォルト形式のユーザーアカウントとする |
0x10000 | パスワードを無期限にする |
0x40000 | 対話型ログオンにはスマートカードが必要 |
0x80000 | アカウントは委任に対して信頼されている |
0x100000 | アカウントは重要なので委任できない |
0x400000 | Kerberos事前認証を必要としない |
Deployment AD-3 12/13 |