chusr コマンド - Windows ユーザの変更
ネイティブ Windows 環境で有効
cminder12901jp
ネイティブ Windows 環境で有効
Windows ユーザに対する作業には、chusr コマンド、editusr コマンド、および newusr コマンドを使用します。 これらのコマンドは構造が同じですが、以下の点のみ異なっています。
- chusr コマンドは、1 つ以上の Windows ユーザを変更します。
- editusr コマンドは、1 つ以上の Windows ユーザを作成または変更します。
- newusr コマンドは、1 つ以上の Windows ユーザを作成します。
注:
このコマンドも、AC 環境に存在し、動作が異なります。このコマンドの形式は以下のようになります。
{{chusr|cu}|{editusr|eu}|{newusr|nu}} userName \
[comment(string)|comment-] \ [country(string)] \ [expire|expire(mm/dd/yy[@hh:mm])|expire-] \ [flags{(accountFlags)|-(accountFlags)}] \ [full_name(fullName)] \ [homedir(homeDir)] \ [homedrive(homeDrive)] \ [location(string)] \ [logonserver(serverName)] \ [organization(name)] \ [org_unit(name)] \ [password(password)] \ [pgroup(primaryGroup)] \ [phone(string)] \ [privileges(privList)] \ [profile(path)] \ [restrictions( \days({[mon] [tue] [wed] [thu] [fri] [sat] [sun]}|anyday|weekdays) \time(startTime:endTime|anytime))]\ [restrictions-] \ [resume[(date)]|resume-} \ [script(logonScriptPath)] \ [suspend[(date)] | suspend-] \ [terminals(terminalList)|terminals-(terminalList)] \ [workstations(workstationList)|workstations-(workstationList)|workstations-]
- comment(string)|comment-ユーザ レコードにコメント文字列を追加します。引数は最大 255 文字の英数字から成る文字列です。 文字列に空白が含まれる場合は、文字列全体を一重引用符で囲みます。
- country(string)ユーザの国名を指定します。 この文字列は認証プロセスでは使用されません。引数は最大 19 文字の英数字から成る文字列です。 文字列に空白が含まれる場合は、文字列全体を一重引用符で囲みます。
- expire|expire(mm/dd/yy[@hh:mm) | expire-ユーザ アカウントが失効する日付を設定します。 日付の指定がない場合、現在ログインしていないユーザのアカウントはただちに失効します。 ユーザがログイン中だった場合は、ログアウトしたときに失効します。newusrコマンドで expire- パラメータを指定して、有効期限のないユーザ アカウントを定義します。 chusr コマンドおよび editusr コマンドの場合は、指定されたユーザ アカウントから有効期限を削除する場合にこのパラメータを指定します。日付の引数はmm/dd/yy[@hh:mm] の形式で指定します。
- flags(accountFlags|- accountFlags)ユーザ アカウントの特定の属性を指定します。 有効なフラグ値の詳細については、付録「Windows の値」を参照してください。ユーザ レコードからフラグを削除するには、accountFlagsの前にマイナス記号(-)を付けます。
- full_name(fullName)ユーザ レコードに関連付けられたユーザのフル ネームを指定します。引数は最大 256 文字の英数字から成る文字列です。 文字列に空白が含まれる場合は、文字列全体を一重引用符で囲みます。
- gecos(string)ユーザのフル ネームなど、ユーザに関するコメント文字列を指定します。 文字列は一重引用符で囲みます。
- homedir(homeDir)ユーザのホーム ディレクトリを指定します。 ユーザは、自分のホーム ドライブおよびホーム ディレクトリに自動的にログインできます。
- homedrive(homeDrive)ユーザのホーム ディレクトリのドライブを指定します。 ユーザは、自分のホーム ドライブおよびホーム ディレクトリに自動的にログインできます。
- location(string)ユーザの所在地を指定します。 この文字列は認証プロセスでは使用されません。引数は最大 19 文字の英数字から成る文字列です。 文字列に空白が含まれる場合は、文字列全体を一重引用符で囲みます。
- logonserver(serverName)ユーザのログイン情報を確認するサーバを指定します。 ユーザがドメイン ワークステーションにログインすると、Privileged Identity Managerはサーバにログイン情報を送信し、ユーザがワークステーションを使用することを許可します。
- organization(name)ユーザが所属する組織を指定します。 この情報は認証プロセスでは使用されません。引数は最大 256 文字の英数字から成る文字列です。 文字列に空白が含まれる場合は、文字列全体を一重引用符で囲みます。
- org_unit(name)ユーザが所属する組織単位を指定します。 この情報は認証プロセスでは使用されません。引数は最大 256 文字の英数字から成る文字列です。 文字列に空白が含まれる場合は、文字列全体を一重引用符で囲みます。
- password(password)ユーザにパスワードを割り当てます。 パスワード チェックが有効になっている場合、指定したパスワードでログインできるのは 1 回のみです。 次回システムにログインする際に、ユーザは新しいパスワードを設定する必要があります。引数はスペースやカンマを含まない最大 14 文字の文字列です。 パスワード チェックが有効になっている場合、指定したパスワードでログインできるのは 1 回のみです。 「パスワードを無期限にする」のフラグが設定されている場合を除いて、次回システムにログインする際に、ユーザは新しいパスワードを設定する必要があります。自分のパスワードを変更するには、setoptions cng_ownpwdを使用して selang オプションを設定するか、sepass を使用する必要があります。Windows NT システム上でユーザのパスワードを設定している場合、以下のメッセージが表示されることがあります。The password is shorter than required.このエラーは、パスワードがポリシー要件を満たしていないことを意味します。 以下のいずれかが原因で、エラーが発生することがあります。
- パスワードが必要な長さよりも短いか、または長い。
- パスワードが最近使用されており、Windows NT Change History フィールドに存在する。
- パスワードに完全に一意の文字が含まれていない。
- パスワードが他のパスワード ポリシー要件(Privileged Identity Managerパスワード ポリシーで設定された要件など)を満たしていない。
- pgroup(primaryGroup)ユーザのプライマリ グループ ID を設定します。 プライマリ グループはユーザが定義されているグループの 1 つで、グローバル グループである必要があります。引数はスペースやカンマを含まない最大 14 文字の文字列です。
- phone(string)ユーザの予備の電話番号を指定します。 この情報は認証プロセスでは使用されません。
- privileges(privList)Windows のユーザ レコードに特定の権限を追加します。privListの前にマイナス記号(-)を付けた場合は、指定した権限を削除します。 このパラメータは、chusr コマンドまたは editusr コマンドで既存のユーザ レコードを変更する場合にのみ指定可能です。 新しいユーザ レコードを作成するときに、このパラメータを使用して権限を割り当てることはできません。
- profile(path)デスクトップ環境(プログラム グループ、ネットワーク接続)のユーザのプロファイルを含むファイルの完全パスを指定します。 ユーザがワークステーションにログインすると、毎回同じ環境が画面に表示されます。
- restrictions([days] [time])|restrictions-([days] [time])ユーザがファイルにアクセスできる曜日と時間帯を指定します。days 引数を指定せずに time 引数を指定した場合、レコード内にすでに設定されている曜日制限に対して、指定した時間帯制限が適用されます。 time 引数を指定せずに days 引数を指定した場合、レコード内にすでに設定されている時間帯制限に対して、指定した曜日制限が適用されます。 days 引数と time 引数の両方を指定した場合、ユーザは、指定した曜日の指定した時間帯にのみシステムにアクセスできます。
- [days] には、ユーザがファイルにアクセスできる曜日を指定します。 days 引数には以下のサブ引数があります。
- anyday- ユーザは曜日を問わずファイルにアクセスできます。
- weekdays- ユーザは月曜から金曜までの平日に限りリソースにアクセスできます。
- Mon、Tue、Wed、Thu、Fri、Sat、Sun- ユーザは指定した曜日にのみリソースにアクセスできます。 曜日は任意の順で指定できます。 複数の曜日を指定する場合は、各曜日をスペースまたはカンマで区切ります。
- [time] には、ユーザがリソースにアクセスできる時間帯を指定します。 time 引数には以下のサブ引数があります。
- anytime- 特定の曜日の任意の時間帯にリソースにアクセスできます。
- startTime:endTime- 指定した時間帯にのみリソースにアクセスできます。 startTime および endTime は両方ともhhmmの形式で指定します。hhは24時間表記の時間(00から23)、mmは分(00から59)を表します。 2400 は有効な Time 値ではないことに注意してください。 startTime が endTime より小さいこと、および両方が同じ日の時間であることが必要です。 端末がホストと異なるタイム ゾーンにある場合は、端末の開始時間と終了時間をホストのローカル時間に相当する時間に変換し、時間の値を調整してください。 たとえば、ホストがニューヨークにあり、端末がロサンゼルスにある場合、ロサンゼルスの端末からのアクセスを午前 8 時から午後 5 時まで許可するには、「time(1100:2000)」と指定します。 たとえば、ホストがニューヨークにあり、端末がロサンゼルスにある場合、ロサンゼルスの端末からのアクセスを午前 8 時から午後 5 時まで許可するには、「time(1100:2000)」と指定します。 たとえば、ホストがニューヨークにあり、端末がロサンゼルスにある場合、ロサンゼルスの端末からのアクセスを午前 8 時から午後 5 時まで許可するには、「time(1100:2000)」と指定します。
- resume(date)|resume-ユーザ アカウントの再開日および再開時間(オプション)です。 suspend パラメータと resume パラメータの両方を指定する場合、再開日を一時停止日より後に設定する必要があります。そうしないと、ユーザは永久に一時停止されたままになります。失効の日付と時刻(オプション)は、以下の形式で指定します。時刻は省略可能です。mm/dd/yy[@HH:MM]resume- パラメータを使用して、ユーザ アカウントのステータスをアクティブ(有効)から一時停止に変更します。 このパラメータは chusr コマンドまたは editusr コマンドにのみ使用できます。
- script(loginScriptPath)ユーザがログインしたときに自動的に実行されるファイルの場所を指定します。 このログイン スクリプトによって作業環境が設定されます。 ユーザの作業環境は profile パラメータでも設定されるため、このパラメータの指定は省略可能です。
- suspend(date)|suspend-ユーザ アカウントを無効にします。 ユーザは一時停止されたユーザ アカウントを使用してシステムにログインすることはできません。 date を指定すると、指定した日にユーザ アカウントが一時停止されます。 date を省略すると、chusr コマンドの実行後ただちにユーザ アカウントが一時停止されます。日付と時刻は、mm/dd/yy[@HH:MM]形式で指定します。時刻は省略可能です。suspend- パラメータを使用して、ユーザ アカウントのステータスを無効からアクティブ(有効)に変更します。 このパラメータは chusr コマンドまたは editusr コマンドにのみ使用できます。
- terminals(terminalList)|terminals-(terminalList)ユーザがログインできる端末を最高 8 つまで指定します。 リストは二重引用符で囲み、名前はカンマで区切ります。 以下に例を示します。"terminal1,terminal2"
- workstations(workstationList)|workstations-(workstationList)|workstations-ユーザがログインできるワークステーションを最高 8 つまで指定します。 リストは二重引用符で囲み、名前はカンマで区切ります。 以下に例を示します。"workstation1,workstation2"