Windows Server
Active Directory の管理に不可欠な 11 個のツール
Laura E. Hunter
概要:
- コマンド ラインでオブジェクトを作成する
- Active Directory 内で一括操作を実行する
- Active Directory の更新と保守を行う
来週から働き始める 200 人の新しい従業員が一覧された Excel ワークシートを渡されたり、ヘルプ デスクのスタッフがクリックする必要のない場所をクリックしたためにユーザー アカウントが正しく構成されなかったり、
単に Active Directory ユーザーとコンピュータを毎回開くことなく Active Directory® を管理する簡単な方法を知りたいと思ったりしたことがある場合は、役立つ無償の管理ツールが多数あります。このようなツールには、Windows® OS に組み込まれているもの、リソース キットや Windows サポート ツールに収録されているもの、および無償のサードパーティ製ツールがあります。この便利なツールはどのようなもので、どこで入手できるのでしょうか。この記事では、その答えを紹介します。
まず、Active Directory のオブジェクトを作成、削除、変更、および検索できる、Windows Server® 2003 の組み込みのコマンド ライン ツールについて説明します。
CSVDE
CSVDE と呼ばれるコンマ区切り値データ交換ツールを使用すると、CSV ソース ファイルを使用して新しいオブジェクトを Active Directory にインポートできます。また、既存のオブジェクトを CSV ファイルにエクスポートすることもできます。ただし、CSVDE を使用して、既存のオブジェクトを変更することはできません。このツールをインポート モードで使用している場合に実行できる操作は、新しいオブジェクトの作成のみです。
CSVDE を使用すると、既存のオブジェクトの一覧を簡単にエクスポートできます。次に、Active Directory オブジェクトを ad.csv というファイルにエクスポートするコマンドを示します。
csvde –f ad.csv
-f スイッチは、その後に出力ファイルの名前が指定されることを示します。ただし、環境によっては、この基本的な構文を使用すると、大きくて扱いにくい出力ファイルが作成される可能性があることを考慮する必要があります。特定の組織単位 (OU) に含まれるオブジェクトのみをエクスポートするようにツールを制限するには、上記のコマンドを次のように変更します。
csvde –f UsersOU.csv –d ou=Users,dc=contoso,dc=com
ユーザー オブジェクトを CSV ファイルにエクスポートすることだけに関心がある場合についても説明しましょう。この場合は、検索にライトウェイト ディレクトリ アクセス プロトコル (LDAP) フィルタを指定できる -r スイッチと、エクスポートする属性の数を制限する -l スイッチを追加します (次のコマンドは、1 行で記述する必要があります)。
csvde –f UsersOnly.csv –d ou=Users,dc=contoso,dc=com –r
"(&(objectcategory=person)(objectclass=user))" –l
DN,objectClass,description
-i スイッチを指定すると、オブジェクトをソース CSV ファイルから Active Directory にインポートできます。ただし、CSVDE を使用してユーザー オブジェクトを作成する場合には、重要な制限が 1 つあります。このツールでは、ユーザー パスワードを設定できません。このため、私はユーザー オブジェクトの作成には CSVDE は使用しません。
LDIFDE
Active Directory には、CSVDE よりも強力で柔軟性の高い、LDIFDE と呼ばれる一括ユーザー操作のための別の組み込みツールが用意されています。LDIFDE では、新しいオブジェクトの作成だけでなく、既存のオブジェクトを変更および削除したり、Active Directory スキーマを拡張したりすることができます。LDIFDE の柔軟性のトレードオフは、必要な入力ファイルの形式が、単純な CSV ファイルと比べて複雑であるという点です。LDIFDE の入力ファイルは、拡張子が .ldf で LDIF ファイルと呼ばれます (簡単な作業でユーザー パスワードを構成することもできますが、それについては後で説明します)。
まず、ある 1 つの OU 内のユーザーを LDF ファイルにエクスポートする単純な例について説明しましょう (次のコマンドは、1 行で記述する必要があります)。
ldifde -f users.ldf -s DC1.contoso.com -d "ou=UsersOU,dc=contoso,dc=com"
–r "(&(objectcategory=person)(objectclass=user))"
多くのコマンド ライン ツールと同様に、LDIFDE /? コマンドを実行すると、LDIFDE スイッチについての詳細な説明を参照できます。図 1 で、ここで使用したスイッチについて説明します (CSVDE コマンドと LDIFDE コマンドで使用するスイッチは同じです)。
Figure 1 LDIFDE スイッチ
| スイッチ | 説明 |
| -d | LDIFDE が操作のために接続する必要がある LDAP パスを指定します。 |
| -f | 使用するファイルの名前を指定します。この記事では、エクスポートの結果の出力先となるファイルの名前を指定します。 |
| -r | エクスポートに使用する LDAP フィルタを指定します。 |
| -s | 操作を実行する接続先のドメイン コントローラ (DC) を指定します。指定しないと、LDIFDE はローカル DC (またはワークステーションからツールを実行している場合は、認証に使用された DC) に接続します。 |
LDIFDE の真の力は、オブジェクトを作成および操作するときに発揮されます。ただし、まず入力ファイルを作成する必要があります。次のコマンドでは、afuller と rking という 2 つの新しいユーザー アカウントが作成されます。入力ファイルを作成するには、メモ帳 (またはお好みのテキスト エディタ) に次のテキストを入力し、NewUsers.ldf という名前を付けて保存します。
dn: CN=afuller, OU=UsersOU, DC=contoso, DC=com
changetype: add
cn: afuller
objectClass: user
samAccountName: afuller
dn: CN=rking, OU=UsersOU, DC=contoso, DC=com
changetype: add
cn: rking
objectClass: user
samAccountName: rking
入力ファイルを作成したら、次のコマンドを実行します。
ldifde –i –f NewUsers.ldf –s DC1.contoso.com
ここで唯一の新しいスイッチは –i です。おわかりと思いますが、これはエクスポートではなくインポートの操作であることを示しています。
既存のオブジェクトを変更または削除する場合も、同じ LDIFDE コマンドの構文を使用し、LDF ファイルの内容を変更します。ユーザー アカウントの説明フィールドを変更するには、図 2 に示すような ModifyUsers.ldf というテキスト ファイルを作成します。
図 2** ModifyUsers LDF ファイル **(画像を拡大するには、ここをクリックします)
-f スイッチの後に新しい LDF ファイル名を指定し、前と同じ LDIFDE コマンド構文を実行して、変更をインポートします。オブジェクトを削除するための LDF の形式は、さらに単純です。ここで操作していた 2 つのユーザー アカウントを削除するには、DeleteUsers.ldf というファイルを作成し、次のテキストを入力します。
dn: CN=afuller OU=UsersOU, DC=contoso, DC=com
changetype: delete
dn: CN=rking, OU=UsersOU, DC=contoso, DC=com
changetype: delete
CSVDE とは異なり、LDIFDE ではユーザー パスワードを構成できます。ただし、ユーザー アカウントに unicodePWD 属性を構成するには、ドメイン コントローラで Secure Sockets Layer/Transport Layer Security (SSL/TLS) 暗号化を構成する必要があります。
また、LDIFDE では、ユーザー アカウントだけでなくすべての種類の Active Directory オブジェクトを作成および変更できます。たとえば、次の LDF ファイルを使用すると、contoso.com フォレストのスキーマに EmployeeID-example というカスタム スキーマ拡張が作成されます。
dn: cn=EmployeeID-example,cn=Schema,
cn=Configuration,dc=contoso,dc=com
changetype: add
adminDisplayName: EmployeeID-Example
attributeID: 1.2.3.4.5.6.6.6.7
attributeSyntax: 2.5.5.6
cn: Employee-ID
instanceType: 4
isSingleValued: True
lDAPDisplayName: employeeID-example
LDIFDE ファイルでは業界標準の LDAP ファイル形式が使用されるため、Active Directory スキーマの変更が必要な多くのサードパーティ製のアプリケーションでは、運用環境に適用する前に変更の確認と承認に使用できる LDF ファイルが提供されます。
一括インポート操作とエクスポート操作を行うツール以外にも、Windows Server 2003 には、さまざまな Active Directory オブジェクトを作成、削除、および変更したり、特定の条件を満たすオブジェクトのクエリを実行したりする組み込みのツールセットも同梱されています (これらのツール、dsadd、dsrm、dsget、および dsquery は、Windows 2000 Active Directory ではサポートされていないことに注意してください)。
Dsadd
dsadd は、特定のディレクトリ パーティションで Active Directory オブジェクト クラスのインスタンスを作成する際に使用します。このクラスには、ユーザー、コンピュータ、連絡先、グループ、組織単位、およびクォータが含まれます。dsadd では、次の要素で構成される一般的な構文が使用できます。
dsadd <ObjectType> <ObjectDistinguishedName> attributes
作成する各オブジェクトの種類には、その種類で使用できる属性に対応する、特定のスイッチのセットを指定することに注意してください。このコマンドによって、さまざまな属性が設定された 1 つのユーザー オブジェクトが作成されます (次のコマンドは、1 行で記述する必要があります)。
dsadd user cn=afuller,ou=IT,dc=contoso,dc=com
–samID afuller –fn Andrew –ln Fuller –pwd *
-memberOf cn=IT,ou=Groups,dc=contoso,dc=com "cn=Help Desk,ou=Groups,
dc=contoso,dc=com"
–desc "Marketing Director"
-memberOf スイッチでは、ユーザーの追加先となる各グループの完全な識別名 (DN) を指定する必要があります。ユーザーを複数のグループに追加する場合は、複数の DN をスペース区切りで追加できます。
Help Desk グループの DN など、要素にスペースが含まれている場合は、要素を二重引用符で囲む必要があります。IT\EMEA という OU のように要素に円記号が含まれている場合は、「IT\\EMEA」と円記号を 2 つ入力する必要があります (これらの要件は、すべての ds* ツールに適用されます)。
-pwd * スイッチを使用すると、コマンド ラインでユーザーのパスワードを入力するよう求められます。-pwd P@ssword1 のようにコマンドの入力時にパスワードを指定できますが、コマンドでパスワードを指定すると、パスワードが画面にテキストで表示されたり、コマンドを埋め込んだテキスト ファイルやスクリプト ファイルに表示されたりします。
同様に、次の 2 つのコマンドを使用して、グループ オブジェクトと OU を作成できます。
dsadd computer cn=WKS1,ou=Workstations,dc=contoso,dc=com
dsadd ou "ou=Training OU,dc=contoso,dc=com"
Dsmod
dsmod は既存のオブジェクトを変更する際に使用し、変更するオブジェクトの種類に応じて異なるサブメニューや構文を使用して、dsadd と同じように操作できます。次の dsmod ステートメントを実行すると、ユーザーのパスワードが変更され、次回のログオン時に新しいパスワードに変更するよう求められるように、アカウントが変更されます。
dsmod user "cn=afuller,ou=IT,dc=contoso,dc=com" –pwd P@ssw0rd1
–mustchpwd yes
これらのスイッチが類似していることをご覧に入れるため、次に、同じ属性を構成してこのユーザーを作成する際に使用する dsadd 構文を示します。
dsadd user "cn=afuller,ou=IT,dc=contoso,dc=com" –pwd P@ssw0rd1
–mustchpwd yes
ご覧のように、dsadd でオブジェクトを作成するスイッチを知っていれば、dsmod を使用してユーザーを変更する際にも同じスイッチを使用できます。
Dsrm
dsadd の逆の処理を行うのが dsrm です。ご想像どおり、このツールを使用すると、コマンド ラインからオブジェクトを削除できます。基本的な dsrm の構文は、きわめて簡単です。次に示すように、dsrm の後に削除するオブジェクトの識別名を入力するだけです。
dsrm cn=WKS1,ou=Workstations,dc=contoso,dc=com
既定では、dsrm によって "このオブジェクトを削除しますか?" というメッセージが表示されます。Y キーを押して、Enter キーを押します。-noprompt スイッチを使用してこのメッセージを非表示にすることができますが、その場合は当然、オブジェクトを削除する前に、正しいオブジェクトを選択したことを確認する機会がなくなります。コンテナ オブジェクト、つまり他のオブジェクトを含む可能性がある組織単位を削除する場合は、役立つ 2 つのスイッチがあります。次のコマンドでは、TrainingOU 組織単位と、それに含まれるすべてのオブジェクトが削除されます。
dsrm ou=TrainingOU,dc=contoso,dc=com –subtree
また、次のコマンドでは、TrainingOU 内のすべての子オブジェクトは削除されますが、この組織単位オブジェクト自体は削除されません。
dsrm ou=TrainingOU,dc=contoso,dc=com –subtree
–exclude
Dsmove
Active Directory でオブジェクトの移動または名前の変更を行う際には、dsmove ツールを使用しますが、このツールは、オブジェクトを同じドメイン内で移動する場合にのみ使用してください。ドメイン間またはフォレスト間でオブジェクトを移行する際には、マイクロソフト Web サイトから無償でダウンロードできる Active Directory 移行ツール (ADMT) を使用します。dsmove には、個別または組み合わせて使用したりできる、2 つのスイッチがあります。次のコマンドでは、Steve Conn のアカウントに新しい姓を設定します。
dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com"
–newname "Steve Conn"
次のコマンドを実行すると、Steve のアカウントが IT OU から Training OU に移動します。
dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com" –newparent
ou=Training,dc=contoso,dc=com
また、次のように一度に両方のスイッチを指定することで、名前の変更と移動を 1 つの操作でまとめて行うことができます。
dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com" –newname
"Steve Conn" –newparent ou=Training,dc=contoso,dc=com
Dsget と Dsquery
ds* コマンド ライン ツールセットには、オブジェクトの作成や変更用のツールではなく、Active Directory に情報を問い合わせる際に使用される 2 つのツールも含まれます。
dsget では、オブジェクトの DN を入力として指定すると、指定した 1 つまたは複数の属性の値が返されます。dsget では、dsadd や dsmod と同じサブメニュー (user、computer、contact、grou、OU、quota) を使用します。
ユーザー アカウントの SAM アカウント名とセキュリティ識別子 (SID) を取得するには、次のコマンドを入力します (次のコマンドは、1 行で記述する必要があります)。
dsget user cn=afuller,ou=IT,dc=contoso,dc=com
–samAccountName –sid
このコマンドを実行すると、図 3 のような出力が表示されます。
図 3** dsget の実行結果 **(画像を拡大するには、ここをクリックします)
dsquery では、指定した条件を満たす Active Directory オブジェクトの一覧が返されます。使用しているサブメニューに関係なく、次のパラメータを指定できます。
dsquery <ObjectType> <StartNode> -s <Search Scope> -o <OutputFormat>
dsquery では、ObjectType として、computer、contact、subnet、group、OU、site、server 、user、quota、および partition というサブメニューを使用できます (server サブメニューでは、使用している環境のメンバ サーバーではなく、ドメイン コントローラに関する情報を取得することに注意してください)。また、各サブメニューには、それぞれ固有の構文があります。これらのいずれかのクエリの種類が適切でない場合は、自由形式の LDAP クエリを入力できる * サブメニューを使用できます。
StartNode では、検索を開始する Active Directory ツリーの場所を指定します。ou=IT,dc=contoso,dc=com などの特定の DN、または domainroot (特定のドメインのルートから開始) や forestroot (検索の実行にグローバル カタログ サーバーを使用して、フォレスト ルート ドメインのルートから開始) のいずれかのショートカットの指定子を使用できます。
Search Scope オプションでは、dsquery で Active Directory ツリーを検索する方法を指定します。subtree (既定値) では指定された StartNode とそのすべての子オブジェクトをクエリし、onelevel では StartNode の直下の子オブジェクトのみをクエリし、base では StartNode オブジェクトのみをクエリします。
検索スコープをわかりやすくするには、OU に、ユーザー オブジェクトと、追加のオブジェクトを含む子 OU の両方を含めることを検討してください。subtree スコープを指定すると、OU とその OU 内に含まれるすべてのユーザー オブジェクト、および子 OU とその子 OU に含まれるオブジェクトをクエリします。onelevel スコープを指定すると、OU 内に含まれるユーザー オブジェクトのみをクエリし、子 OU や子 OU に含まれるオブジェクトはクエリしません。base スコープを指定すると、OU に含まれるオブジェクトはクエリせず、OU 自体だけをクエリします。
最後に、OutputFormat を使用して、dsquery の出力結果の形式を制御できます。既定では、dsquery コマンドを実行すると、クエリの条件に一致するすべてのオブジェクトの識別名が次のような形式で返されます。
"cn=afuller,ou=Training,dc=contoso,dc=com"
"cn=rking,ou=ITTraining,ou=Training,dc=contoso,dc=com"
IT OU とその子 OU に含まれるすべてのユーザー オブジェクトをクエリするには、次のコマンドを使用します。
dsquery user ou=IT,dc=contoso,dc=com
無効なユーザー アカウントのみを返す -disabled、過去 x 週間以内にログオンしていないユーザーのみを返す -inactive x、過去 x 日以内にパスワードを変更していないユーザーのみを返す -stalepwd x などの他のスイッチを指定すると、このクエリの精度をさらに高めることができます。
ディレクトリ内のオブジェクトの数に応じて、クエリを実行するときに、-limit x スイッチを指定することが必要になる場合があります。既定では、dsquery では、クエリの条件に一致するオブジェクトを最大 100 個返します。-limit 500 のように大きな値を指定したり、-limit 0 を使用して一致するオブジェクトをすべて返すように、dsquery に指示したりできます。
他のサブメニューを使用して、他のオブジェクトの種類に対しても便利なクエリを実行できます。次のクエリは、10.1.x.x アドレス空間にある、Active Directory サイトとサービスで定義されたすべてのサブネットを返します。
dsquery subnet –name 10.1.*
また、次のクエリは、Corp サイトに配置されているすべてのサブネットを返します。
dsquery subnet –site Corp
別のサブメニューを使用して、フォレスト内でグローバル カタログ サーバーとして構成されているドメイン コントローラの数をすばやく特定することもできます。
dsquery server –forest –isgc
また、次の構文を使用して、ドメイン内でプライマリ ドメイン コントローラ (PDC) の Emulator Flexible Single Master Operations (FSMO) の役割をホストしているドメイン コントローラを特定することもできます。
dsquery server –hasfsmo pdc
サブメニューが用意されている他の ds* コマンドと同様に、コマンド プロンプトで、「dsquery user /?」、「dsquery computer /?」、「dsquery subnet /?」などのコマンドを入力すると、特定の dsquery のサブメニューで使用できるすべてのスイッチを表示できます。
その他の巧妙な技としては、| 文字 (日本語キーボードでは Shift キー + \ キー) を使用して、dsquery の出力を dsmod などの別のツールにパイプすることもできます。たとえば、企業で部署名を Training から Internal Development に変更したので、関連のある各ユーザーの説明フィールドの情報を、古い部署名から新しい部署名に更新する必要があるとします。次のように、1 行のコマンド ラインで、説明フィールドに Training が設定されているユーザー オブジェクトをクエリし、その説明フィールドを一括で変更できます。
dsquery user –description "Training" | dsmod
-description "Internal Development"
サードパーティ製の優れたツール
Active Directory は LDAP 標準ベースなので、LDAP に対応する任意のツールを使用して、Active Directory のクエリおよび変更を行うことができます。多くのサードパーティ ベンダが Active Directory の管理に役立つツールを有償で提供していますが、コミュニティでは無償で入手できる貴重なツールもあります。Directory Services MVP の Joe Richards が作成したコレクションは、その一例で、joeware.net/freetools からダウンロードできます。このサイトでは、多くの異なる機能を提供するさまざまなツールを入手できます。私が頻繁に利用している 3 つのツールは、adfind、admod、および oldcmp です。
Adfind と Admod
adfind と admod は、dsquery と dsmod に似ています。adfind は Active Directory 用のコマンド ライン クエリ ツールで、admod では 1 つまたは複数の Active Directory オブジェクトを作成、削除、または変更できます。
オブジェクトの種類に応じて複数のサブメニューや異なるスイッチを使用する ds* ツールとは異なり、adfind と admod では、実行するクエリや変更の種類に関係なく、いつも同じ構文を使用します。adfind の基本的な構文を次に示します。
adfind –b <Search Base> -s <Search Scope> -f <Search Filter>
attributesDesired
つまり、ドメイン内のすべてのコンピュータ オブジェクトの DN と説明フィールドをクエリするコマンドは、次のようになります。
adfind –b dc=contoso,dc=com –s subtree –f (objectclass=computer) dn
description
また、すべてのユーザー オブジェクトをクエリするコマンドは、次のようになります。
adfind –b dc=contoso,dc=com –s subtree –f "(&(objectcategory=person)
(objectclass=user))" dn description
LDAP クエリの内容が違うという点を除き、構文は変わっていません。
adfind を使用していると、多くのショートカット演算子があることがわかります。たとえば、前の例では、-b dc=contoso,dc=com の代わりに -default スイッチを使用し、ドメイン全体を検索することができます。-gc を指定すると、ガーベジ コレクション (GC) に対して検索を実行し、Active Directory フォレスト内のすべてのユーザーを返します。また、-rb スイッチを使用して、検索の相対ベースを設定することもできます。phl.east.us.contoso.com ドメインの Training OU を検索する場合、「-b ou=Training, dc=phl,dc=east,dc=us,dc=contoso,dc=com」と指定する代わりに「-default -rb ou=Training」と指定するだけで済むので、労力を大幅に減らすことができます。
adfind では、図 4 に示す機能など、他のコマンド ライン ツールでは簡単に管理できない多くの高度な検索機能も実行できます。
Figure 4 adfind スイッチ
| スイッチ | 説明 |
| -showdel | Deleted Objects コンテナに対して、廃棄済みオブジェクトをクエリします。 |
| -bit | userAccountControl 属性などのビット単位の演算子に対してクエリを実行します。 |
| -asq | 属性スコープ クエリを実行します。この機能 (dsquery では再現できません) は、特定のオブジェクトの属性を取得し、その属性に対してクエリを実行できます。 |
| -dsq | adfind クエリの出力を、dsmod またはその他のいずれかの ds* ツールにパイプします。 |
次の -asq スイッチを使用した例は、"HelpDesk のメンバのグループ メンバシップを表示せよ" という意味のコマンドです。
adfind –default –rb cn=HelpDesk,ou=IT –asq member memberOf
admod は、その名のとおり、Active Directory 内のオブジェクトを変更する際に使用します。adfind と同様に、特定の構文に付随する特殊なサブメニューを覚える必要はありません。admod では、操作するオブジェクトの種類に関係なく、同じ構文を使用します。また、admod では、-add、-rm、-move、-undel などの適切なスイッチを追加して、オブジェクトの追加、移動、名前の変更、削除、および削除の取り消しも実行できます。dsquery や dsmod と同様に、| 文字を使用して、adfind クエリの結果を admod にパイプすることもできます。
admod で削除の取り消しを実行しても、廃棄済みオブジェクトの復元操作が実行されるだけで、ほとんどのオブジェクトの属性は削除されていることに注意してください。オブジェクトとそのすべての属性を完全に復元するには、Authoritative Restore を実行する必要があります。
Oldcmp
私が自分の自動化ツールキットになくてはならないツールだと考えている joeware ツールが、もう 1 つあります。それは oldcmp というツールです。このツールでは、Active Directory データベースをスキャンして、指定した期間 (週) に使用されていないコンピュータ アカウントを検出し、次の操作を実行できます。
- アカウントに対して操作を行わずにアカウントのレポートを作成する
- 使用されていないコンピュータ アカウントを無効にする
- コンピュータ アカウントを指定した別の OU に移動する
- コンピュータ アカウントを完全に削除する
oldcmp は、ディレクトリに深刻な悪影響を与える可能性があるため、多くの安全機能が組み込まれています。oldcmp では、まだ無効になっていないアカウント (および "本当に削除して構わない" という意味のコマンド ライン スイッチを手動で指定していないアカウント) は削除されません。"本当に変更しても構わない" という意味のスイッチを使用しない限り、一度に 10 個を超えるオブジェクトが変更されることはありません。また、ドメイン コントローラのコンピュータ アカウントに対して操作が行われることはありません。
ツールの名前が誤解を招くようになるにもかかわらず、Joe は、一定の期間使用されていないユーザー アカウントに対しても同様の機能を実行するように、oldcmp を更新しました。
小規模な Active Directory 環境や、一度に 1 つか 2 つしか追加や変更を行わない Active Directory 環境では、Active Directory ユーザーとコンピュータなどの GUI ツールは、日常的な管理作業を行うのには十分です。ただし、毎日、多数のオブジェクトを追加または変更する場合や、より効率的な管理作業のソリューションを求めている場合は、コマンド ライン ツールに移行することで、Active Directory 内のオブジェクトを作成、変更、および削除する作業を大幅に高速化できます。既に説明したように、無償で入手できる柔軟性の高い強力なツールは多数あります。このようなツールには、Windows に組み込まれているもの、Active Directory コミュニティのメンバが運営しているサイトからダウンロードできるものがあります。このようなツールを使用すると、Active Directory 管理者として生産性を大幅に向上することができます。そして、これらのツールはさらに日常的な仕事に欠かせないものとなるでしょう。
Laura E. Hunter は、Windows Server のネットワークの分野で、Microsoft MVP を 4 回受賞しています。彼女は、『詳説 Active Directory 第 2 版』(O'Reilly、2006 年) の著者です。IT 業界に携わって 10 年のベテランであり、現在は Active Directory アーキテクトとして国際的なエンジニアリング企業で勤務しています。また、この業界の資格を複数持っており、ユーザー グループの会議や業界のカンファレンスで頻繁に講演を行っています。
© 2008 Microsoft Corporation and CMP Media, LLC. All rights reserved; 許可なしに一部または全体を複製することは禁止されています.