【 Disable-ADAccount 】コマンドレット――Active Directoryオブジェクトを無効にする:Windows PowerShell基本Tips(28)
本連載は、PowerShellコマンドレットについて、基本書式からオプション、具体的な実行例までを紹介していきます。今回は「Disable-ADAccount」コマンドレットを解説します。
本連載では、Windows PowerShellの基本的なコマンドレットについて、基本的な書式からオプション、具体的な実行例までを分かりやすく紹介していきます。今回は、Active Directoryユーザーやコンピュータなどのオブジェクトを無効にする「Disable-ADAccount」コマンドレットです。
Disable-ADAccountコマンドレットとは?
「Disable-ADAccount」は、PowerShellを利用してActive Directoryユーザーやコンピュータなどのオブジェクトを無効にするコマンドレットです。休職/退職したユーザーや入社前のユーザーなど、一時的に利用不可とするユーザーをコマンドレットで簡単に無効化できます。
Disable-ADAccountの主なオプション
| オプション | 意味 |
|---|---|
| -Identity | 無効にするアカウントを指定する。省略可能 |
一時的に利用しなくなったActive Directoryユーザーを無効にする
Disable-ADAccountコマンドレットは、「-Identity」オプションで指定したユーザーを無効にできます(画面1)。
コマンドレット実行例
Disable-ADAccount -Identity kunii
一時的に利用しなくなったコンピュータアカウントを無効にする
Disable-ADAccountコマンドレットは、「-Identity」オプションでDN(Distinguished Name:Active Directoryオブジェクトの識別名)書式を利用することで、無効にしたいコンピュータアカウントを指定できます(画面2)。
コマンドレット実行例
Disable-ADAccount -Identity "cn=Win10,cn=computers,dc=contoso,dc=com"
複数のユーザーをまとめて無効にする
「Get-ADUser」コマンドレットで複数のユーザー情報を取得して、その結果を元にDisable-ADAccountコマンドレットで無効化することができます(画面3)。
コマンドレット実行例
Get-ADUser -Filter 'Name -like "*"' -SearchBase "ou=employees,dc=contoso,dc=com" | Disable-ADAccount
画面3 Get-ADUserコマンドレットを利用してemployees OU(組織単位)内の全てのユーザー情報を取得し、続けてDisable-ADAccountコマンドレットでユーザーを無効化した。Get-ADUserコマンドレットで既にユーザーを指定しているため、-Identityオプションは必要ない
筆者紹介
国井 傑(くにい すぐる)
株式会社ソフィアネットワーク取締役。1997年からマイクロソフト認定トレーナーとして、Active DirectoryやActive Directoryフェデレーションサービス(AD FS)など、ID管理を中心としたトレーニングを提供している。2007年からMicrosoft MVP for Directory Servicesを連続して受賞。なお、テストで作成するユーザーアカウントには必ずサッカー選手の名前が登場するほどのサッカー好き。
Copyright © ITmedia, Inc. All Rights Reserved.