今回は、コンピュータアカウントの無効化について取り上げよう。なお、ユーザーアカウントの無効化については、本連載の第38回で、すでに取り上げている。
ユーザーアカウントと違って、コンピュータアカウントをアクセス権設定の対象とすることは多くないので、ユーザーアカウントほど削除に神経質になる必要はないといえる。したがって、削除した後で同名のものを再作成しても支障はないことがほとんどだ。
ただし、コンピュータアカウントをアクセス権設定の対象にしている場合には状況が異なる。もちろん、コンピュータアカウントのSID(Security Identifier)も再作成によって変わってしまうので、ユーザーアカウントの場合と同様、アクセス権設定を維持するには削除よりも無効化の方が好ましい。
[Active Directoryユーザーとコンピュータ]管理ツールを使用する方法
まず、[Active Directoryユーザーとコンピュータ]管理ツールを使用する方法について解説する。
[Active Directoryユーザーとコンピュータ]管理ツールを起動する。
左側のツリー画面で、無効化したいコンピュータアカウントがある場所(ドメイン、OUまたはコンテナ)を選択する。
右側の一覧で無効化したいコンピュータアカウントを選択して、[操作]-[アカウントを無効にする]、あるいは右クリックして[アカウントを無効にする]を選択する。
- 続いて表示する確認メッセージで[はい]をクリックする。無効化を正常に行った場合、、「オブジェクト <コンピュータ名> が無効になっています」というメッセージを表示する。
なお、無効化したコンピュータアカウントを有効な状態に戻すには、同様の操作手順で[操作]-[アカウントを有効にする]、あるいは右クリックして[アカウントを有効にする]を選択する。
dsmod computerコマンドを使用する方法
コンピュータアカウントのプロパティ変更に使用するdsmod computerコマンドは、無効化・有効化にも使用できる。対象となるコンピュータアカウントをLDAP識別名で指定して、さらに引数「-disabled yes」を付加すると無効化、「-disabled no」を付加すると有効化できる。以下に実行例を示す。
ドメイン「ad-domain.company.local」内のOU「Tokyo」にある、コンピュータ「helios」のアカウントを無効化
dsmod computer cn=helios,ou=Tokyo,dc=ad-domain,dc=company,dc=local -disabled yes
ドメイン「ad-domain.company.local」内のOU「Tokyo」にある、無効化されているコンピュータ「helios」のアカウントを有効化
dsmod computer cn=helios,ou=Tokyo,dc=ad-domain,dc=company,dc=local -disabled no