PowerShell での FSMO 役割を担当している操作マスターの役割の転送と強制

PowerShell で Windows Server 2008 R2 の Active Directory の FSMO 役割を担当している操作マスターの役割を転送してみます。

1. Import-Module コマンドレットを実行して、Active Directory を操作するための準備を行います。

Import-Module ActiveDirectory

2. 操作マスターの役割を転送するには Move-ADDirectoryServerOperationMasterRole コマンドレットを使用します。OperationMasterRole オプションで操作マスターの種類を指定します。カンマで区切ることで複数指定することができます。転送元のサーバーが使用不能な場合などは Force オプションを指定することで役割を強制することができます。

Move-ADDirectoryServerOperationMasterRole adds02 -OperationMasterRole  InfraStructureMaster,RIDMaster,PDCEmulator,DomainNamingMaster,SchemaMaster

 

今回使用したコマンドレット等は TechNet に詳細があります。

Import-Module コマンドレット
Move-ADDirectoryServerOperationMasterRole コマンドレット

.

PowerShell での FSMO 役割を担当している操作マスターの確認

PowerShell で Windows Server 2008 R2 の Active Directory の FSMO 役割を担当している操作マスターを確認してみます。

1. Import-Module コマンドレットを実行して、Active Directory を操作するための準備を行います。

Import-Module ActiveDirectory

2. まずドメインの操作マスターを確認します。ドメインの情報を取得するには、Get-ADDomain コマンドレットを使用します。パイプで Select-Object コマンドレットを使用して、操作マスターの情報のみを出力します。

Get-ADDomain | Select-Object InfraStructureMaster,RIDMaster,PDCEmulator

3. インフラストラクチャ マスター、RID マスター、PDC マスターを担当している操作マスターが出力されます。

4. 次にフォレストの操作マスターを確認します。フォレストの情報を取得するには、Get-ADForest コマンドレットを使用します。パイプで Select-Object コマンドレットを使用して、操作マスターの情報のみを出力します。

Get-ADForest | Select-Object DomainNamingMaster,SchemaMaster

5. ドメイン名前付けマスター、スキーマー マスターを担当している操作マスターが出力されます。

 

今回使用したコマンドレット等は TechNet に詳細があります。

Import-Module コマンドレット
Get-ADDomain コマンドレット
Get-ADForest コマンドレット
Select-Object コマンドレット

.

PowerShell でのグループの変更と削除

PowerShell で Windows Server 2008 R2 の Active Directory のグループを変更、削除してみます。

1. Import-Module コマンドレットを実行して、Active Directory を操作するための準備を行います。

Import-Module ActiveDirectory

2. グループの情報を変更します。グループの情報を変更するには、Set-ADGroup コマンドレットを使用します。Description パラメーターを使用してグループの「説明」を変更します。

Set-ADGroup SalesGroup -Description 営業部

3. 変更されたかを確認するには、Get-ADGroup コマンドレットを使用します。Properties パラメーターを使用してプロパティ「Description」も表示するようにします。

Get-ADGroup SalesGroup -Properties Description

4. グループを削除します。グループを削除するには、Remove-ADGroup コマンドレットを使用します。

Remove-ADGroup SalesGroup

今回使用したコマンドレット等は TechNet に詳細があります。

Import-Module コマンドレット
Set-ADGroup コマンドレット
Get-ADGroup コマンドレット
Remove-ADGroup コマンドレット

.

PowerShell でのグループへのメンバーの追加とグループからのメンバーの削除

PowerShell で Windows Server 2008 R2 の Active Directory でグループにメンバーを追加、グループからメンバーを削除してみます。

1. Import-Module コマンドレットを実行して、Active Directory を操作するための準備を行います。

Import-Module ActiveDirectory

2. グループにメンバーを追加するには Add-ADGroupMember コマンドレットを使用します。グループと追加するメンバーを指定します。複数のメンバーを指定するときは配列して指定するためカンマで区切ります。

Add-ADGroupMember SalesGroup Watanabe,Ueno

3. 追加されたかを確認します。確認するには Get-ADGroupMember コマンドレットを使用します。

Get-ADGroupMember SalesGroup

4. グループからメンバーを削除するには Remove-ADGroupMember コマンドレットを使用します。グループと削除するメンバーを指定します。複数のメンバーを指定するときは配列して指定するためカンマで区切ります。

Remove-ADGroupMember SalesGroup Watanabe,Ueno –Confirm:false

5. 削除されたかを確認します。確認するには Get-ADGroupMember コマンドレットを使用します。

Get-ADGroupMember SalesGroup

今回使用したコマンドレット等は TechNet に詳細があります。

Import-Module コマンドレット
Add-ADGroupMember コマンドレット
Get-ADGroupMember コマンドレット
Remove-ADGroupMember コマンドレット

.

PowerShell でのグループの作成

PowerShell で Windows Server 2008 R2 の Active Directory にグループを追加してみます。

1. Import-Module コマンドレットを実行して、Active Directory を操作するための準備を行います。

Import-Module ActiveDirectory

2. グループを作成するには New-ADGroup コマンドレットを使用します。GroupCategory パラメーターでグループの種類の指定を、GroupScope パラメーターでドメイン ローカル グループなどのグループのスコープの指定をしてコマンドレットを実行します。

New-ADGroup SalesGroup -GroupCategory Security -GroupScope DomainLocal

3. グループが作成されたか確認します。確認をするには Get-ADGroup コマンドレットを使用します。

Get-ADGroup SalesGroup

今回使用したコマンドレット等は TechNet に詳細があります。

Import-Module コマンドレット
New-ADGroup コマンドレット
Get-ADGroup コマンドレット

.

PowerShell での削除したオブジェクトの復元

PowerShell で削除したオブジェクトを復元してみます。復元するためには Active Directory のごみ箱を有効化を行っておく必要があります。

1. Import-Module コマンドレットを実行して、Active Directory を操作するための準備を行います。

Import-Module ActiveDirectory

2. Remove-ADUser コマンドレットを実行して、ユーザーを削除します。

Remove-ADUser Ueno

3. 復元するためには削除されたオブジェクトの情報が必要となります。削除されたオブジェクトを取得するために Get-ADObject コマンドレットを実行します。Filter パラメータで {isDeleted -eq $true} を指定することで削除済みのオブジェクトを、IncludeDeletedObjects パラメータを指定することで削除されたオブジェクトも取得するようにします。

Get-ADObject -filter {isDeleted -eq $true} –IncludeDeletedObjects

4. 取得されたユーザーの GUID(ObjectGUID) を指定して、Restore-ADObject コマンドレットを実行してユーザーを復元します。

Restore-ADObject 10816564-cbe7-4d1b-9e57-90948493df0e

5. 指定したユーザーが復元されたかを確認します。

Get-ADUser Ueno

今回使用したコマンドレット等は TechNet に詳細があります。

Import-Module コマンドレット
Remove-ADUser コマンドレット
Get-ADObject コマンドレット
Restore-ADObject コマンドレット
Get-ADUser コマンドレット
手順 2: 削除された Active Directory オブジェクトを復元する

.

Active Directory のごみ箱を有効化

Windows Server 2008 R2 の新機能に「Active Directory のごみ箱」があります。既定ではの有効化されていないので、有効化を行ってみます。有効化するには、Active Directory フォレストの機能レベルが「Windows Server 2008 R2」である必要があります。

1. Import-Module コマンドレットを実行して、Active Directory を操作するための準備を行います。

Import-Module ActiveDirectory

2. Enable-ADOptionalFeature コマンドレットを実行します。Identity パラメーターで指定するごみ箱の識別名に含まれる DC、Target パラメーターで指定するドメイン名、Server オプションで指定するサーバー名は環境に応じた値を指定する必要があります。

Enable-ADOptionFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuratin,DC=adtan,DC=local’ –Scope ForestOrConfigurationSet –Target ‘adtan.local’ –Server adds01

ごみ箱の有効化は一度行うと元に戻せません。また、削除後、一定期間（既定では180日）復元可能な状態でデータが保持されますのでデーターベースのサイズにも注意が必要です。

TechNet に詳細な手順等の情報があります。@IT にわかりやすい解説記事があります。

TechNet : Active Directory のごみ箱の要件
TechNet : 手順 1: Active Directory のごみ箱を有効にする
TechNet : Enable-ADOptionalFeature コマンドレット
@IT「第6回 進化したActive Directory」 内の「Active Directoryのごみ箱」

.

PowerShell での Active Directory ディレクトリ サービスのバックアップ

PowerShell で Windows Server 2008 R2 の Active Directory ディレクトリ サービス (AD DS) のバックアップを行ってみます。

1. まずサーバー マネージャー モジュール (Servermanager) を Import-Module コマンドレットで読み込みます。そして、「Windows Server バックアップの機能」の「コマンドライン ツール」の機能を追加します。

Import-Module Servermanager
Add-WindowsFeature Backup-Tools

2. 次に Windows Server バックアップのコマンドレット スナップインを Windows PowerShell に追加します。

Add-PSSnapin windows.serverbackup

3. バックアップ ポリシーを作成します。バックアップ ポリシーを作成するには New-WBPolicy コマンドレットを使用します。

$policy = New-WBPolicy

4. システム状態をバックアップすることをポリシーに追加します。追加するには Add-WBSystemState コマンドレットを使用します。

Add-WBSystemState $policy

5. アプリケーションのログを消さないようにするために VssCopyBackup モードでバックアップします。設定するには Set-WBVssBackupOptions コマンドレットを使用します。

Set-WBVssBackupOptions -Policy $policy –VssCopyBackup

6. バックアップの保存先を指定します。指定するには New-WBBackupTarget コマンドレットと Add-WBBackupTarget コマンドレットを使用します。

$backupLocation = New-WBBackupTarget -NetworkPath \\srv-file01\マネージメント
Add-WBBackupTarget -Policy $policy -Target $backupLocation

7. 手順3から手順6までで用意したバックアップ ポリシーでバックアップを開始します。バックアップを開始するには Start-WBBackup コマンドレットを使用します。

Start-WBBackup -Policy $policy

8. 指定したバックアップ先に、WindowsImageBackup\<コンピュータ名> というフォルダーが作成され、バックアップ内容が保管されています。

今回使用したコマンドレット等は TechNet に詳細があります。

Import-Module コマンドレット
サーバー マネージャーのコマンドの概要
Add-WindowsFeature コマンドレット
Add-PSSnapin コマンドレット
New-WBPolicy コマンドレット
Add-WBSystemState コマンドレット
Set-WBVssBackupOptions コマンドレット
New-WBBackupTarget コマンドレット
Add-WBBackupTarget コマンドレット
Start-WBBackup コマンドレット

.

PowerShell での Active Directory ドメイン サービスの停止と開始

Windows Server 2008 から Active Directory ドメイン サービス (AD DS) を停止させたり、開始させたりすることができます。TechNet などでは「再起動可能なAD DS」としています。

1. サービス「Active Directory Domain Services」に依存しているサービスを確認します。依存しているサービスを確認するには Get-Service コマンドレットに –DependentServices オプションを付加します。サービス名には「NTDS」を指定します。

Get-Service NTDS –DependentServices

2. サービスを停止させます。サービスを停止するには Stop-Service コマンドレットを使用します。依存するサービスも停止するため –Force オプションを付加します。

Stop-Service NTDS –Force

3. サービスが停止したか確認します。サービスの状態を確認するには Get-Service コマンドレットを使用します。出力の Status が「Stopped」になっていれば、サービスは停止しています。

Get-Service NTDS

4. 次に停止したサービスを開始します。サービスを開始するには Start-Service コマンドレットを使用します。

Start-Service NTDS

5. サービスが開始したか確認します。Get-Service コマンドレットの出力の Status が「Running」になっていれば、サービスは開始しています。

Get-Service NTDS

6. 依存するサービスの状態も確認します。

Get-Service NTDS –DependentServices

今回使用したコマンドレットの詳細は TechNet に説明があります。
Get-Service コマンドレット
Start-Service コマンドレット
Stop-Service コマンドレット

.

PowerShell でのユーザーの削除

Windows Server 2008 R2 の Active Directory に登録されているユーザーを PowerShell を使用して削除してみます。

1. Import-Module コマンドレットを実行して、Active Directory を操作するための準備を行います。

Import-Module ActiveDirectory

2. 最初にユーザーを1アカウント削除してみます。

Rmove-ADUser Kato

3. 確認メッセージが表示されるので、「Y」を入力します。ユーザー「Kato」が削除されます。

4. 次に複数ユーザーを削除してみます。PowerShell でユーザーを取得で使用した Get-ADUser コマンドレットにパイプで Remove-ADUser コマンドレットにつなげます。

Get-ADUser -Filter {name -like “Toma*”} | Remove-ADUser -Confirm:$false

5. 「Toma」で始まるユーザーがすべて削除されます。

今回使用したコマンドレットの詳細は TechNet に説明があります。
Remove-ADUser コマンドレット
Get-ADUser コマンドレット

.