• 締切済み

【AD】ユーザが所属するグループを抜くには?

windows server 2008 r2で質問します。 現在、ドメインに参加していた無効化したユーザが大量にいます。 そのユーザ達のグループを『Domain Users』のみにしたいと思います。 GUIで1件1件対応するのは、大変なのでコマンドで実行しようと思うのですが、 どのようなコマンドを発行すればよろしいでしょうか。 ご存知の方がいましたら、教えて頂けませんでしょうか。

みんなの回答

  • maesen
  • ベストアンサー率81% (646/790)
回答No.1

グループのメンバシップは、グループ側で削除しないといけないのでユーザーを基準にするとちょっと手間が必要です。 GUIでのイメージのような、ユーザーの所属グループの情報(MemberOf属性)を操作して所属グループから抜くことは直接出来ません。 そのため、MemberOf属性で示されているグループを取得し、そのグループのメンバからユーザーを削除する形になります。 PowerShellにて1ユーザー(userxxx)の所属グループを全て削除するサンプルを参考に記載します。 サンプルは検証していませんので扱いは注意して下さい。 $a = Get-ADUser userxxx -Properties memberof $a.memberof | foreach { Remove-ADGroupMember $_ userxxx } 一般ユーザーはプライマリグループがDomain Usersになっているはずです。 MemberOf属性にはプライマリグループは載らないので1ユーザーだけならばこれで要件を満たすと思います。 プライマリグループを変更していたらもう少し手を加える必要があるでしょう。 対象ユーザーがどのようにグルーピングされるのかが不明なので、複数の場合は書けませんが応用でいけると思います。 所属するグループが既に分かっていて、そのメンバから単純にユーザーを削除するだけならばもっと簡単なのですが。 所属するグループが少なければこちらの方法でできないか検討したほうがいいかもです。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. OS(技術者向け)
  4. Windows系OS

関連するQ&A

  • Windows ファイルサーバのアクセス権移行?

    Windows ファイルサーバのアクセス権移行? これまでWindows Server 2003上にローカルユーザを作成し、 ファイルサーバーとして使用していました。 この度、このサーバーをActive Directoryに参加させることになりました。 ドメインに参加させる作業自体は問題ないのですが、 問題はこれまでに蓄積されたファイルのアクセス権についてです。 目的は、 サーバーに保存されている全てのファイルのアクセス権を ローカルユーザー/グループからドメインユーザー/グループに置換する事です。 手動による操作は可能ですが、ユーザー数、グループ数もかなり多く、 またファイルが大量にあるため GUI上から手動で処理するのはあまりにも現実的ではありません。 そこで何かコマンドで一気に処理してしまうか、 この目的を短時間で達成できる方法を探しています。 何かご存知の方がおりましたらご意見お待ちしております。

  • 新しいユーザを作成するには?

    ドメインに登録されているユーザーをローカル端末に追加するには、どうすればいいでしょうか?GUI以外で良い方法はないでしょうか? 【環境】Windows Vista SP1 ドメイン参加 現在、Net Userコマンドで出来ないか調査をしているのですが、ローカルユーザは追加・削除ともできますが、ドメインユーザを追加・削除するのがうまくいきません。(どうも、ドメインサーバに対してユーザを追加・削除の処理を実施しようとしているみたいで、アクセス拒否やユーザが存在しないとかでエラーになります。) また、Net Userでユーザ一覧を参照すると、ローカルユーザしか出てきません。ドメインユーザは1ユーザ追加済み。Net User /Domain にするとアクセス拒否されます。 コマンドでは、ドメインユーザをローカル端末に新規作成できないのでしょうか? 宜しくお願いします。

  • ローカルユーザとグループ等のコピーについて

    2003Server(ドメイン参加)から別筐体の2003Server(ドメイン参加orWorkGroup)に対し、ローカルユーザーやグループ(パスワードを含めて)をコピーする良い方法はございませんでしょうか? 知識が浅いので、レベルを下げてご教授頂けると幸いです。 よろしくお願い致します。

  • 所属グループについて

    Linux初心者です。 ユーザーが所属しているグループについて教えて下さいm(__)m。 ユーザー「nakamura」の所属グループを確認するのに以下のコマンドを打ちました。 ---------------------------------------------------------------- 1. <<コマンド>> cat /etc/group <<結果>> syomu:x:200: eigyo:x:300:nakamura 2. <<コマンド>> id nakamura <<結果>> uid=501(nakamura) gid=200(syomu) 所属グループ=200(syomu), 300(eigyo) context=user_u:system_r:unconfined_t ---------------------------------------------------------------- 以上の情報よりユーザー「nakamura」が所属するグループは、 「eigyo(300)」になるのでしょうか。 それとも 「syomu(200)」「eigyo(300)」になるのでしょうか? 宜しくお願い致します。

  • <AD>グループメンバー 一覧 コマンド

    Windows Server 2003 のActive Directoryを使用して、ユーザ管理をしています。 グループに所属しているメンバを調べるのに以下のコマンドを使用しています。 dsquery group -name グループ名 | dsget group -members | dsget user -display -samid このコマンドの出力結果の1行1行の先頭にグループ名を追加表示させて、 以下のような出力イメージしたいと思います。 グループ名 ユーザID ユーザ氏名 そして、このコマンドではグループのメンバにグループがいると 途中で停止してしまいます。 この場合はどのように対応すれば宜しいでしょうか? すみませんが、お願いします。

  • ワークグループ共有でユーザパスワード変更について

    windows2003サーバーをファイルサーバとして利用しています。 クライアントはXPhomeになります。 ネットワークがドメインではなくワークグループなのでローカルアカウントを作っています。 管理者がパスワードを入力するのではなくユーザー自身にパスワードを変更して貰いたいと思っています。 telnetでnet userコマンドを使えば出来るとは思うのですがユーザーが出来るか怪しいので。 ユーザーのPCから出来てできるだけ簡単な方法を探しています。なにかいい方法がありますでしょうか。 よろしくお願いします。

  • CentOS7でAD上のフルネームを取得する方法を

    【質問】 CentOS7のコマンドでAD上のフルネームを取得する方法を教えてください。 下記の例でいうと、 コマンドで「ADテストユーザー」の文字列を抽出することがゴールです。 【前提】 Windows server上にADDCを立てています。 domein1に ユーザー名:adtest フルネーム:ADテストユーザー を登録しました。 CentOS7をそのWindows server上のdomein1に参加させました。 CentOS7上で、初回ログイン時にそのユーザーの環境を自動設定するようにしました。 CentOS7からWindows server上のdomein1のユーザーであるadtestでログインしました。 GUI操作で設定→ユーザーを開くと、ドメインに登録していたフルネームも見えています。 (添付画像) 【捕捉1】 ユーザー名は $USER または whoami で取得できます。 $ whoami adtest $ echo $USER adtest また wbinfo -u により、ドメインユーザーを一覧で根刮ぎ取ることはできます。 しかし、フルネームの取り出し方はわかりません。 【捕捉2】 CentOS7内で登録したローカルユーザーは「/etc/passwd」に入っていますが、ドメインユーザーの情報はそこにはありません。

  • linuxユーザ、グループ作成

    CentOSでユーザーグループの作成について以下のことが分かりません。 【質問1】ユーザとグループの同時作成 コマンド:useradd -u 502 Ashe と実行した後、idコマンドで確認しました。 ユーザ:Ashe グループ:Ashe ユーザ、グループ:id502(idコマンド確認、/etc/passwd確認) 「グループ名Ashe、グループ番号も、ユーザidと同じ502と作成される」という 私の認識に間違いないでしょうか? また、「ユーザとグループ、同じidを指定して作成する場合」、 これ以外にお勧めのコマンド等はありますでしょうか? 【質問2】context=root:system_r:unconfined_t:SystemLow-SystemHighについて idコマンドで下記内容が出力されました。(usermod -G wheel Ashe実行後) 結果:uid=502(Ashe) gid=502(Ashe) 所属グループ=10(wheel),502(Ashe)      context=root:system_r:unconfined_t:SystemLow-SystemHigh 【context=root:system_r:unconfined_t:SystemLow-SystemHigh】内容の意味が分かりません。 ご教授よろしくお願いします。

  • ドメインユーザーを分ける・区切る

    Buffalo社製のLinuxベースのNASを会社のドメインに参加させるのですが、 Windows Server 2008 R2によるADドメインの仕様や設定について質問です。 当方、ドメインとかサーバとかの知識は皆無です。 LinuxベースのNASの仕様で「ドメインユーザーが1000以上あると正常に機能しない」とあります。 仮に会社のドメイン名は部署関係なく共通で、ドメインユーザーが1000以上で、 しかし部署ごとのドメインユーザー数は99未満とした場合、 ADの設定で、ドメインユーザーをグループ化したり、区切りのような設定をして、 NASにユーザー数が99未満と見せかける?ことはできるのでしょうか。

  • アクティブディレクトリ  ユーザのグループ設定

    Windows Server 2008 R2 でアクティブディレクトリ(AD)を構成しています。(DCは2台) ユーザーに設定したグループが数時間で削除されてしまいます。 例  ユーザー名 admin を administratorsに設定します。(GUIで設定)   しばらくは、この権限で動作します。しかし、数時間後は、このグループから外れています。 何らかのグループポリシー等が影響しているのでしょうか。 基本的にはインストールの設定から変更指定ません。 変更した箇所    ・アカウントポリシーの パスワードの複雑さ要件   原因が分らず、困っています。 ご存じの方、よろしく解決策をお教え下さい。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する