オラクる。

oracle専門ブログにしてみようかな~っと

2013年07月

dsaddコマンドはドメインにオブジェクトを作成するコマンドで、dsadd userでユーザアカウントを作成することができます。
大量にユーザアカウントを作成しなければならないときに便利です。

・ユーザの追加

C:\Users\Administrator.AD1.001>dsadd user "CN=user1,OU=役員,OU=社員,DC=contoso,D
C=com" -Pwd P@ssw0rd
dsadd 成功:CN=user1,OU=役員,OU=社員,DC=contoso,DC=com

社員というOUの下にある、役員というOUにuser1というユーザーを作成しています。
OUは下位から先に指定します。(~OU=役員,OU=社員~)
 
・ユーザの削除

作成したユーザはdsrmコマンドで削除することができます。
下記例では先程作成したユーザを消しています。

C:\Users\Administrator.AD1.001>dsrm CN=user1,OU=役員,OU=社員,DC=contoso,DC=com
CN=user1,OU=役員,OU=社員,DC=contoso,DC=com を削除しますか (Y/N)? y
dsrm 成功:CN=user1,OU=役員,OU=社員,DC=contoso,DC=com

・ユーザの属性変更

 ユーザの属性を変更したい場合はdsmodコマンドを使用します。
下記コマンドではuser1というユーザの表示名(-Display)を変更しています。

C:\Users\Administrator.AD1.001>dsmod user "CN=user1,OU=役員,OU=社員,DC=contoso,D
C=com" -Display new-user2
dsmod 成功:CN=user1,OU=役員,OU=社員,DC=contoso,DC=com
 
・その他 

dsget・・・オブジェクトのプロパティ取得
dsmove・・・オブジェクトの移動/名前変更
dsquery・・・オブジェクトの検索 

Windows Server 2008R2より、ドメインコントローラーとやり取りすること無しにクライアントがドメインに参加することが可能になりました。
大量の仮想マシンを展開し、初回起動後(ネットワークの設定が完了していない段階で)すぐにドメインに参加させたい場合などに便利でしょう。

オフラインでドメインに参加可能なのはWindows server 2008R2とWindows 7のみですが、ドメインコントローラーはwindows Server 2003などの過去のバージョンのOSで問題ありません。

・ドメインコントローラーもしくはドメインに参加済みで実行するコマンド

C:\Users\Administrator.AD1.001>djoin /provision /domain contoso.com /machine PC0
1 /savefile c:\temp\provision.txt

コンピューター アカウントをプロビジョニングしています...
[PC01] はドメイン [contoso.com] に正常にプロビジョニングされました。
プロビジョニング データは [c:\temp\provision.txt] に正常に保存されました。

コンピューター アカウントのプロビジョニングが正常に完了しました。
この操作を正しく終了しました。

(例だとc:\tempにprovision.txtというファイルが生成されるのでドメインに参加させたいコンピューターにコピーします)

・ドメインに参加させたいコンピューターで実行するコマンド
 
C:\Users\Administrator.AD2.000>djoin /requestodj /loadfile c:\temp\provision.txt
 /windowspath %SystemRoot% /localos
プロビジョニング データを次のファイルから読み込んでいます: [c:\temp\provision.tx
t]。

オフライン ドメイン参加要求は正常に完了しました。
変更を適用するには、再起動する必要があります。
この操作を正しく終了しました。

再起動後、ドメインに参加している状態であることを確認できます。

 AD_000156

ネットワークに接続され、ADと通信できる状態になった時に、ADにコンピューターアカウントが登録されます。

Windows Server 2012「R2」のpreview版(製品候補版の一歩手前?)がリリースされました。
以下のURLからダウンロード出来ます。
しかも、今ならbluetoothマウスか参考書かのいずれかが当たるらしい

Windows Server 2012 R2 プレビュー版 ダウンロードはじめました。| TechNet
 
早速、ダウンロードしてインストールしてみました。
仮想マシンです。

AD_000157
AD_000158
AD_000159

ライセンス番号は上記URLより入手出来ます。

AD_000161

エディションはdatacenterのみ

AD_000162
AD_000163
 AD_000164
AD_000165
AD_000166

めでたくインストールできました。

AD_000167

AD_000168

AD_000169

AD_000170

確かに2012「R2」です。
ちなみに左下にマウスを持って行ってもスタート画面は表示されなくなっています。
クリックすることで表示されます。 
大きな仕様変更? 

Windows Server 2008以降のActive DirectoryにはOU作成時に「間違って削除されないようにコンテナーを保護する」オプションを選択することができます。(既定で選択されています)
作業ミスを防ぐために有用な機能です。

 AD_000163
AD_000165

上記オプションを選択した状態でOUの削除をしてみましょう。

AD_000166
AD_000167

AD_000168

エラーメッセージが出力されて消すことができませんでした。

・・・では、本当に消したくなった時はどうするのでしょうか。

AD_000169

まず、拡張機能を有効化します。

AD_000173

AD_000174

OUのプロパティを開くと「オブジェクト」タブに「誤って~」オプションが表示されています。
拡張機能を有効化しないと表示されない項目です。
削除したい時はチェックを外します。

AD_000175
 
上記設定で実際に削除することが出来ました。

新しいオブジェクト - 組織単位ダイアログ ボックス

 

SYSVOLはActiveDirectory環境ではグループポリシー設定などの重要な情報を保管するフォルダです。
Windows server2003まではFRS(ファイルレプリケーションサービス)という機能によりレプリケーションされていましたが、Windows Server 2008からはDFSR(ファイル分散レプリケーションサービス)という機能によりレプリケーションすることができます。

DFSRを利用することで・・・
・差分だけがレプリケーションされる
・変更が即座にレプリケーションされる
という利点があります。

ドメインの機能レベルをADインストール時から「Windows Server 2008」以降にした場合は、自動的にDFSR機能が利用されますが、「Windows Server 2003」 にした場合は、ドメイン機能レベルを上げた後に手動でDFSR機能に切り替える必要があります。
AD_000158
AD_000159
AD_000160

まずはドメインの機能レベルを2008以降に上げます。

C:\Users\Administrator.AD1.001>dfsrmig /CreateGlobalObjects

DFSR の現在のグローバル状態: '開始'
成功しました。

dfsrmigコマンドを実行し、DFSRのオブジェクトの保存先を作成します。

C:\Users\Administrator.AD1.001>dfsrmig /SetGlobalState 1

DFSR の現在のグローバル状態: '開始'
新しい DFSR のグローバル状態: '準備完了'

'準備完了' 状態に移行します。DFSR サービスによって
SYSVOL が SYSVOL_DFSR フォルダーにコピーされ
ます。

いずれかの DC で移行を開始できない場合は、手動ポーリングを試行してください。
または、/CreateGlobalObjects オプションを指定して実行してください。
移行は 15 分から 1 時間までの任意の時点で開始できます。
成功しました。
 
AD_000161
 
 WindowsフォルダにSYSVOL_DFSRフォルダを作成し、SYSVOLフォルダの内容をコピーしています。

C:\Users\Administrator.AD1.001>dfsrmig /SetGlobalState 2

DFSR の現在のグローバル状態: '準備完了'
新しい DFSR のグローバル状態: 'リダイレクト済み'

'リダイレクト済み' 状態に移行します。SYSVOL 共有が、
DFSR を使用してレプリケートされた SYSVOL_DFSR
フォルダーに変更されます。

成功しました。
 
SYSVOL共有がSYSVOL_DFSRを利用するように変更しています。

C:\Users\Administrator.AD1.001>dfsrmig /SetGlobalState 3

DFSR の現在のグローバル状態: 'リダイレクト済み'
新しい DFSR のグローバル状態: '削除済み'

'削除済み' 状態に移行します。このステップを元に戻すことは
できません。

いずれかの RODC が長時間にわたって '削除済み' 状態になって
いる場合は、/DeleteRoNtfrsMembers オプションを指定して実行してください。
成功しました。

古いSYSVOLフォルダを削除しています。

C:\Users\Administrator.AD1.001>dfsrmig /GetMigrationState

すべてのドメイン コントローラーがグローバル状態 ('削除済み') に移行しました。
移行状態が、すべてのドメイン コントローラー上で整合性のとれた状態になりました。
成功しました。

/GetMigrationStateで「すべてのドメインコントローラーがグローバル状態('削除済み')に移行しました。」と表示されたらFRSからDFSRへの切り替えが完了です。 

このページのトップヘ