新たにActive Directoryドメインを構築する場合,まず全ユーザーの情報を登録することが必要となります。ですが,数人や数十人ならまだしも,何百人というユーザーがいる場合には,GUI画面で一人ひとりの情報を設定していくのでは大変な手間と時間がかかってしまいます。こんなときは,csvdeやldifdeといったコマンドを使って,あらかじめファイルの形で用意しておいたユーザー情報をまとめて登録するのが便利です。
例えば,csvdeコマンドを使えば,CSV形式でユーザー情報を記録したファイルを読み込んで登録することが可能です。読み込ませるユーザー情報は,CSVファイルの1行目に登録する属性名を記載し,2行目以降でユーザーごとに対応する属性の値をカンマ区切りで記載します(図1)。例えば,ユーザー・オブジェクトには数多くの属性が設定でき,オブジェクトのプロパティ画面から確認できます(マイクロソフトのWebサイト参照)。ユーザー・アカウントを新規で登録するには,このうちDN,objectClass,sAMAccountNameの三つの属性が最低限必要になります。
 |
| 図1●登録するユーザー情報をまとめてCSVファイル [画像のクリックで拡大表示] |
こうして用意したCSVファイルの情報をサーバーにインポートするには,csvdeコマンドを以下のように実行します(図2)。
csvde -i -f CSVファイル名
 |
| 図2●CSVファイルを読み込んで登録した画面 [画像のクリックで拡大表示] |
インポートの結果を「Active Directoryユーザーとコンピュータ」のスナップインで見てみると,確かに登録されていることが確認できます(図3)。
 |
| 図3●「日経太郎」というユーザーが登録されていることを確認した画面 [画像のクリックで拡大表示] |
同様に,ldifdeコマンドを使えばLDIF形式のファイルの情報を一括で登録や変更・削除することができます。具体的には以下のように実行します(図4)。
ldifde -i -u -f [LDIFファイル名]
 |
| 図4●ldifdeコマンドでオブジェクトのインポートを実行した画面 [画像のクリックで拡大表示] |
なお,-uオプションはユニコード文字列を扱うオプションで,エクスポート・インポート情報で日本語文字列を扱う場合に必要です。csvdeでも利用できます。
読み込むLDIF ファイルの構文は多少複雑になります。オブジェクトを追加する場合,以下のようにDN 名およびchangetype に「add 」を指定した上で,設定したい属性名と値を1行ずつ設定します(図5)。
dn:オブジェクトのDNchangetype:add
属性名:属性の値
 |
| 図5●ユーザー情報の追加を指定したLDIFファイル [画像のクリックで拡大表示] |
上の方法でcsvde やldifdeコマンドでアカウントをインポートした場合,登録したアカウントは無効な状態になっていて,パスワードは設定されていません。このため,後から他の方法(net user やdsmod user コマンド,ADSI スクリプト)でパスワード登録とアカウントの有効化を設定し直します。例えば,簡単な例としてdsquery *コマンドからdsmod user コマンドへのパイプラインで設定する方法を示すと図6のようになります。なお,アカウントのインポート時にパスワードをいっしょに指定するのはldifdeコマンドしかできず,LDAPS(SSLベースのLDAP)が必要です。
 |
| 図6●dsquery *コマンドとdsmod userコマンドで登録したアカウントを有効にしてパスワードを設定した画面 [画像のクリックで拡大表示] |
このような設定をしたくない場合には,一時的にActive Directoryの「ドメイン・セキュリティ・ポリシー」から設定できる「パスワードのポリシー」の「パスワードの長さ」を0文字,「パスワードは,複雑さの要件を満たす必要がある」を「無効」に設定し(図7),userAccountControl属性値を「512」としておくことで,「パスワードなし」かつ「ユーザーは次回ログオン時にパスワードの変更が必要」という状況でアカウントを登録することもできます。
 |
| 図7●ドメイン・セキュリティ・ポリシーの設定を変更した画面 [画像のクリックで拡大表示] |
csvdeについての詳細はこちら,ldifdeについての詳細はこちらをご覧ください。
| ■変更履歴 「図5●ユーザー情報の追加を指定したLDIFファイル」と,説明を追加しました。 [2008/1/31 17:53] |
