Active Directory で使用可能な代表的なコマンドです。
「プロパティ情報」は使用頻度の高いものをまとめています。
Get-ADUser
Active Directory 上に作成されたユーザーを参照するためのコマンドレットです。
「Active Directory ユーザーとコンピューター」管理ツールと同等ですが、Get-ADUser コマンドレットではさまざまな検索条件を設定し、その条件に合致するユーザーだけを抽出して参照することができます。
構文
Get-ADUser -identity "オブジェクト名"サンプル
この例は、User1 の全属性を表示します。属性の値が「未設定」の場合は表示されません。
Get-ADUser -identity User1 -Properties *この例は、User1 の全属性を CSV ファイルに出力します。
Get-ADUser -identity User1 -Properties * | Export-Csv -Path "c:\work\UserInfo.csv" -Encoding utf8この例は、全ユーザーの UPN、Exchange エイリアス名、メールアドレス、メールボックスの種類、ユーザーアカウント有効 / 無効等の情報を CSV ファイルに出力します。
Get-ADUser -Filter * -Properties * |select DisplayName,Name,UserPrincipalName,mailnickname,mail,enabled,msExchRecipientTypeDetails | Export-Csv -Path “c:\work\UserInfo.csv” -Encoding utf8
この例は、Department 属性に “運用” の文字を含むオブジェクトを抽出します。
Get-ADUser -Filter {Department -like “運用“} -Properties Department
プロパティ情報
| プロパティ | 説明 |
| Name | オブジェクトの名前 |
| DisplayName | 表示名 |
| distinguishedName | AD 上の位置 |
| SamAccountName | <ドメイン名>\<アカウント名> 形式で AD にログオンする際に使用される |
| UserPrincipalName | <アカウント名>@<UPN サフィックス名> 形式で O365 連携でログインする際に使用される |
| ユーザー アカウントのプロパティ (ADUC) で「電子メール(M:)」の値 | |
| EmailAddress | Exchange 環境の場合はプロファイル作成時に使用 |
| targetAddress | Exchange Online メールボックス転送用アドレス |
Get-ADGroupMember
AD のグループに所属するメンバーを取得します。
構文
Get-ADGroupMember -identity “グループ名”
サンプル
この例は、group1 という名前のグループに関する詳細情報を返します。
Get-ADGroupMember -identity group1
プロパティ情報
| プロパティ | 説明 |
| name | 所属するメンバー名 |
| distinguishedName | AD 上の位置 |
Get-ADPrincipalGroupMembership
ユーザー (グループ) が所属している AD グループの情報を取得します。
構文
Get-ADPrincipalGroupMembership -identity “ユーザー (グループ) 名”
サンプル
この例は、User1 が所属している AD グループを取得します。
Get-ADPrincipalGroupMembership -identity User1
プロパティ情報
| プロパティ | 説明 |
| name | 所属するグループ名 |
| GroupCategory | グループの種類 |
| distinguishedName | AD 上の位置 |
nltest
使用しているドメインコントローラーの情報や IP アドレス等を取得します。Active Directory ドメインに参加できていることを確認します。 ドメインに参加している端末から実行します。
コマンドプロンプトは「管理者として実行」で起動します。
構文
nltest パラメーター:ドメイン名
サンプル
この例は、特定のクライアントがどの Active Directory サーバーで認証されているかを確認します。
nltest /dsgetdc:ドメイン名
DC と接続できず、キャッシュログオンしている場合は以下のエラーになります。
DC 名の取得に失敗しました: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN
この例は、DC 一覧を取得します。
nltest /dclist:ドメイン名
この例は、クライアント端末が Active Directory に正しく「参加」出来ているかを確認します。
nltest /sc_verify:ドメイン名
/sc_verify はセキュアチャネルを検証するオプションです。
このコマンドを実行したコンピュータが正しくドメインに参加できていれば、セキュアチャネルが確保されているドメインコントローラの名前が表示されます。
(例:\\dc01.aaa.bb.local)
DC に接続できない場合 (キャッシュログオンも) は以下のようにDC 名が空欄になります。
信頼された DC 名
信頼された DC 接続状態 Status = 1311 0x51f ERROR_NO_LOGON_SERVERS
dcdiag
Active Directoryドメインコントローラーの診断を行うために使用されます。例えば、ドメインコントローラーの健全性をチェックする場合や、ドメインコントローラーの機能レベルを確認する場合などに使用します。
サンプル
Active Directory ドメインコントローラーの健全性のチェック行います。エラーや警告がある場合は、その原因を調べ、修正することができます。
dcdiag /v
Active Directoryドメインコントローラーの同期の確認を行います。このコマンドを実行すると、ドメインコントローラー間での同期に関する情報が表示されます。Active Directoryのレプリケーションが正常に機能しているかどうかを確認することができます。
dcdiag /test:replicationsActive DirectoryドメインコントローラーのDNSの確認を行います。DNSサービスが正常に動作しているか、DNSレコードが正常に登録されているかどうかを確認することができます。
dcdiag /test:DNSこのコマンドを実行すると、ドメインコントローラーで実行されているサービスに関する情報が表示されます。特定のサービスが実行されていない場合や、サービスの実行にエラーが発生している場合は、問題の解決策を調べることができます。
dcdiag /test:services
コメント