net — Samba およびリモート CIFS サーバーの管理ツール
net
{<ads|rap|rpc>} [-h|--help] [-d|--debuglevel=DEBUGLEVEL] [--debug-stdout] [--configfile=CONFIGFILE] [--option=name=value] [-l|--log-basename=LOGFILEBASE] [--leak-report] [--leak-report-full] [-R|--name-resolve=NAME-RESOLVE-ORDER] [-O|--socket-options=SOCKETOPTIONS] [-m|--maxprotocol=MAXPROTOCOL] [-n|--netbiosname=NETBIOSNAME] [--netbios-scope=SCOPE] [-W|--workgroup=WORKGROUP] [--realm=REALM] [-U|--user=[DOMAIN/]USERNAME[%PASSWORD]] [-N|--no-pass] [--password=STRING] [--pw-nt-hash] [-A|--authentication-file=FILE] [-P|--machine-pass] [--simple-bind-dn=DN] [--use-kerberos=desired|required|off] [--use-krb5-ccache=CCACHE] [--use-winbind-ccache] [--client-protection=sign|encrypt|off] [-V|--version] [-w|--target-workgroup workgroup] [-I|--ipaddress ip-address] [-p|--port port] [--myname] [-S|--server server] [--long] [-v|--verbose] [-f|--force] [--request-timeout seconds] [-t|--timeout seconds] [--dns-ttl TTL-IN-SECONDS] [-i|--stdin] [--witness-registration=REGISTRATION_UUID] [--witness-net-name=REGEX] [--witness-share-name=REGEX] [--witness-ip-address=REGEX] [--witness-client-computer-name=REGEX] [--witness-apply-to-all] [--witness-new-node=NODEID] [--witness-new-ip=IPADDRESS] [--witness-forced-response=JSON]
このツールは、samba(7) システムの一部である。
Samba の net ユーティリティは Windows や DOS に存在する NET コマンドと同様の位置づけのものである。 先頭の引数は、コマンドを実行する際に使用するプロトコルを指定するために用いられる。 ADS は Active Directory によって、RAP は従来の (Windows 9x / Windows NT 3.x) クライアントによって、 RPC は Windows NT 4.0 および Windows 2000 によって使用されている。 この引数が省略された場合、 net コマンドはプロトコルを自動判別しようとする。 すべてのコマンドがすべてのプロトコル上で使用できるわけではない。
操作対象とするワークグループやドメインを指定する。 このオプション、サーバーの IP アドレス、名前のいずれかは指定する必要がある。
操作対象のサーバーの IP アドレスを指定する。 このオプションか、 操作対象のワークグループまたは対象のサーバー名のいずれかを指定する必要がある。
操作対象のサーバーに接続する際に用いるポート番号 (通常 139 か 445) を指定する。 既定値ではまず 445 を試行し、ついで 139 を試行する。
操作対象のサーバー名を指定する。 このオプション、操作対象のワークグループ、IP アドレスのいずれかを指定する必要がある。
情報を表示する際に、各項目の詳細情報を表示する。
データを一覧表示する時、各アイテムごとに、より詳細な情報を表示する。
net コマンドを強制実行する。
クライアントの要求を 30 秒後にタイムアウトさせる。既定値は 10 秒。
クライアント操作のタイムアウト値を 30 秒に設定する。
標準入力から net コマンドの入力を受ける。
コマンドシーケンスのテストのみを行う。dry-run である。
net サブコマンドに整数のフラグを渡す。
net サブコマンドにコメント文字列を渡す。
net サブコマンドにおいて、MYNAME を要求元の名前とする。
net ads 操作に対して AD コンテナーを指定する。
net rpc 操作に対して maxusers フィールドを指定する。
コマンドが正常終了した後に、リモートマシンを再起動する(たとえば リモート join 操作など)。
"net rpc vampire keytab" を呼び出す時、このオプションは 生成された keytab ファイルの再生成を強制的に行わせる。
"net rpc vampire keytab" を呼び出す時、このオプションは、 生成された keytab ファイルに対して、単一のオブジェクトとして、 置換することを許可する。
"net rpc vampire keytab" を呼び出す時、このオプションは、 生成された keytab ファイルから古いエントリを削除することを許可する。
"net idmap" コマンドに対して dbfile を指定する。
"net idmap check" コマンドに対して、dbfile のロックを有効にする。
"net idmap check" 中で非対話的モードを有効にする。
"net idmap check" 中で修復モードを有効にする。
"net rpc share migrate" 操作において、コピー対象に ACL も含める。
"net rpc share migrate" 操作において、コピー対象にファイル属性も含める。
"net rpc share migrate" 操作において、コピー対象にタイムスタンプも含める。
"net rpc share migrate" 操作において、コピー対象から指定した ディレクトリを除外する。
マイグレーション操作において、ターゲットのサーバー名を指定する (既定値は localhost)。
グループマッピングのタイプを local に設定する("net groupmap set" 中で 使われる)。
グループマッピングのタイプを domain に設定する("net groupmap set" 中で 使われる)。
グループマッピングのタイプを ntname に設定する("net groupmap set" 中で 使われる)。
グループマッピングのタイプを rid に設定する("net groupmap set" 中で使われる)。
データベースバージョンを {n|1,2,3} と仮定する("net registry check" 中で 使われる)。
データベースファイル出力先を指定する("net registry check" 中で使われる)。
新しく一からデータベースを作る("net registry check" 中で使われる)。
データベースの事前チェックのためのファイル名を指定する ("net registry import" 中で使われる)。
"net ads join" の一部として DNS 更新を実行しない。
"net ads leave" の一部としてマシンアカウント削除を防止 する。
"net ads info" と "net ads lookup" のために、結果を JSON 形式で出力する。
再帰検索を行う。
あるファイルに対してファイル名の大文字小文字 変換が失敗しても、再帰検索を継続する。
ディレクトリ検索中に、シンボリックリンクをたどる。
DNS レコードの Time to Live (TTL) を指定する。 DNS レコードは指定された TTL で作成されるか、更新される。 TTL は秒単位で指定する。"net ads dns register" と "net ads join" と共に使える。 既定値は 3600 秒である。
これはデータベースを走査するのではなく、REGISTRATION_UUIDを 直接検索する。
これは、クライアントがモニタリングのために登録した 「サーバ名」を指定する。
これは、クライアントがモニタリングのために登録した 「共有名」を指定する。 共有名は登録時にはオプションであることに注意。 それ以外の場合は、空の文字列が一致する。
これは、クライアントがモニタリングのために登録した IP アドレスを指定する。
これは、登録中にクライアントが指定したコンピュータ名を 指定する。 これは単にクライアント自身が選択した文字列であることに 注意。
これは、全ての登録情報を指定する。
NODEID を指定することにより、指定されたノード上の 現在有効な全ての IP アドレスが応答中に含まれる。 NODEID として '-1' を指定した場合、クラスタの 全ての IP アドレスが応答中に含まれる。
IPADDRESS を指定することで、指定された IP アドレスのみが応答の中に含まれる。
これは、非常に複雑な witness_notifyResponse 構造体の生成を出来るようにする。
level
は0から10までの整数値である。
このパラメータが設定されていない場合の規定の値は、
クライアントアプリケーションに対しては、1 である。
この値を大きくするほど、サーバーの動作に関するより詳細な情報が ログファイルに記録される。レベル 0 では、致命的なエラーと重大な警告 のみが記録される。レベル 1 は日々の運用に適しており、少量の稼働状況 に関する情報を生成する。
1 より上のレベルは大量のログが生成されるので、問題解決の時にのみ 使用すべきである。 3 より上のレベルは開発者だけが利用するように設計されて おり、莫大な量のログデータが生成される。そのほとんどは非常に謎めいた内容 となっている。
このパラメーターの指定は、${prefix}/etc/smb.conf
ファイル中の、
log level パラメーターの
指定よりも優先する事に注意。
このパラメータはデバッグ出力を STDOUT にリダイレクトする。既定では、 すべてのクライアントはログを STDERR に出力する。
クライアントが必要とする詳細な設定を含むファイルを指定する。
このファイル中にある情報は、クライアントまたはサーバに対して
一般的であるか、あるいは、
client smb encrypt
のような、クライアント固有のオプションのみを提供することが
できる。詳細については ${prefix}/etc/smb.conf
を参照のこと。既定の
設定ファイルの名前はコンパイル時に決定される。
コマンドラインから smb.conf(5) オプション "<name>" に値 "<value>" を設定する。 これはコンパイル時の既定値と設定ファイルから読み込まれた オプションを上書きする。名前または値に空白が入っていた場合、 引用符で --option=name=value 全体を囲む。
ログ/デバッグファイルのベースディレクトリ名。拡張子
".progname"
が追加される (たとえば
log.smbclient, log.smbd など)。ログファイルは
クライアントによって削除されることはない。
終了時の talloc リークレポートを有効にする。
終了時の完全な talloc リークレポートを有効にする。
プログラムのバージョン番号を表示する。
このオプションは、ホスト名と IP アドレスの名前解決のために どのようなネーミングサービスをどのような順序で使用するかを決める のに使用される。このオプションには、異なった名前解決オプションを 空白で区切って並べる。--name-resolve=NAME-RESOLVE-ORDER 全体を 引用符でくくるのがもっとも良いやり方である。
指定できるオプションは: "lmhosts", "host", "wins" and "bcast" である。 それぞれにおいて、名前解決は次のように行われる:
lmhosts
:
Samba lmhosts ファイルで IP アドレスが検索される。
lmhosts の行に NetBIOS名にアタッチされるネームタイプが
ない場合(詳細については
lmhosts(5)を参照)、ネームタイプがどれであるかは
検索結果に影響しなくなる。
host
:
システムの /etc/hosts
、NIS、
DNS ルックアップを使用した、ホスト名 - IP アドレス間の
標準の名前解決が行われる。名前解決の方法の詳細な部分は、
IRIX、Solaris といった OS によって変わる。
/etc/nsswitch.conf
で制御できる場合も
ある。この方法は、検索される NetBIOS 名のタイプが 0x20
(サーバー) である時にのみ使用できる点に注意。さもなければ
指定しても無視される。
wins
:
wins server
パラメーターに指定
された IP アドレスを持つ名前が検索される。WINS サーバーが
指定されていなければ、この方法は無視される。
bcast
:
interfaces
パラメーターに指定された
既知のローカル・インターフェースそれぞれについてブロード
キャストを行う。ターゲット・ホストがローカル接続サブネット
上にある場合にしか使えないので、最も信頼性の低い名前
解決法である。
このパラメーターが設定されなかった場合、名前解決方法の使用順序は
${prefix}/etc/smb.conf
ファイル中のパラメーター
(name resolve order)に指定されたとおりになる。
既定の順番は lmhosts, host, wins, bcast である。このパラメータがない
場合か何らかのエントリがname resolve order
the ${prefix}/etc/smb.conf
ファイル中のパラメータにある場合は、名前解決の手段は
この順で行われる。
クライアントのソケットに設定する TCP のソケットオプション。
有効なオプションの一覧については、${prefix}/etc/smb.conf
マニュアルページ
中の socket options パラメーターを参照のこと。
このパラメータの値(文字列)は、クライアントによってサポートされる、 もっとも高位のプロトコルレベルである。
ここでこのパラメータを指定すると、${prefix}/etc/smb.conf
ファイル中の
client max protocol パラメータを
上書きすることに注意。
このオプションは Samba 自身が使う NetBIOS名を上書きする。
これは、${prefix}/etc/smb.conf
ファイル中の netbios name
パラメータで設定することと同じである。しかし、コマンド行での設定は
${prefix}/etc/smb.conf
での設定よりも優先する。
nmblookup
が、通信用のNetBIOS名を生成する時に
使うNetBIOS スコープを指定する。NetBIOS スコープの詳細な利用方法に
ついては、 RFC 1001 と RFC 1002 を参照のこと。NetBIOSスコープは
ごく稀にしか利用されない。NetBIOS システム
全体を運営している管理者が、そのシステム内の相手と通信する場合にのみ、
このパラメーターを設定する。
ユーザー名の SMB ドメインを指定する。このオプションは、 smb.conf 内のデフォルトのドメイン設定よりも優先される。 ドメイン名としてサーバーの NetBIOS 名を指定すると、クライアントは (ドメインの SAM ではなく) サーバーのローカル SAM を使用して ログオンを試みる。
ここでこのパラメータを指定すると、${prefix}/etc/smb.conf
ファイル中の
workgroup パラメータを上書きすることに注意。
ドメインのレルムを指定する。
ここでこのパラメータを指定すると、${prefix}/etc/smb.conf
ファイル中の
realm パラメータを上書きすることに注意。
SMB のユーザー名、またはユーザー名とパスワードを指定する。
もしも %password を指定しないと、ユーザーにパスワードの入力を求める。
クライアントはまず初めにUSER
、LOGNAME
の
順に環境変数の存在を調べ、もしもどちらかが存在するならば、その文字列を
大文字にする。環境変数が存在しない場合、ユーザー名として
GUEST
が用いられる。
このほかに、平文のユーザー名とパスワードを記述した認証ファイルを使用する
3番目のオプションがある。このオプションは主にスクリプト向けに用意されて
おり、認証情報をコマンドラインや環境変数に含めたくない場合に有用である。
このオプションを利用するときは、ファイルのパーミッションを確認し、ほかの
ユーザーから参照されないように注意すること。詳細は
-A
オプションを参照のこと。
パスワードをスクリプトに含める場合は注意すること。セキュリティを確保する ため、必要に応じてクライアントにパスワードを要求させることを推奨する。
このオプションを指定すると、クライアントはユーザーへの パスワード入力要求をしなくなる。パスワードが必要ないサービスに アクセスするときに有用である。
コマンドラインにパスワードが指定されておらず、このオプションも指定 されていないと、クライアントはパスワードを要求する。
もしも、パスワードがコマンドライン上で指定され、このオプションも 定義されていた場合、コマンドライン上のパスワードは無視され、 パスワードは使われない。
コマンド行上でパスワードを指定する。
パスワードをスクリプトに含める場合は注意すること。セキュリティを確保する ため、必要に応じてクライアントにパスワードを要求させることを推奨する。
提供したパスワードは NT ハッシュである。
このオプションは、指定したファイルから、接続時に使用する ユーザー名とパスワードを読み込むために使用する。 ファイルの形式は次の通り:
username = <value> password = <value> domain = <value>
ファイルのパーミッションを確認し、他のユーザーから参照されない ように注意すること。
保存されたマシンパスワードアカウントを使用する。
シンプルバインドで使う DN。
このパラメータは、Samba クライアントツールが Kerberos を 使って認証を試みるかを決定する。Kerberos 認証では、サービスに 接続する際、IP アドレスではなく、DNS 名を使用する必要がある。
ここでこのパラメータを指定すると、${prefix}/etc/smb.conf
ファイル中の
client use kerberos パラメータを
上書きすることに注意。
Kerberos認証用の資格情報キャッシュの場所を指定する。
これは --use-kerberos=required も同時に設定する。
winbindによってキャッシュされた資格情報を使うようにする。
クライアントツールが使うべき接続の保護を設定する。
ここでこのパラメータを指定すると、${prefix}/etc/smb.conf
ファイル中の
client protection パラメータを
上書きすることに注意。
さらに細かな制御が必要な場合は、以下を使用できる:
--option=clientsmbencrypt=OPTION
,
--option=clientipcsigning=OPTION
,
--option=clientsigning=OPTION
.
このコマンドにより、Samba のコンピューターアカウントのパスワードを外部アプリケーションが Active Directory に格納済のものに(手動で)設定することが可能となる。 何が行なわれるかを理解しない限り、このコマンドを用いないこと。 このコマンドを用いるには、強制フラグ(-f)を併せて設定する必要がある。 コマンドプロンプトのインタフェースは存在しない。 情報はすべて、コマンドラインなどを経由して標準入力経由で引き渡され、コンピューターアカウントのパスワードとして格納される。 警告無しに以前のコンピューターアカウントのパスワードが上書きされてしまうため、このコマンドは注意して用いること。
ドメインに参加する。サーバー上にコンピューターアカウントがすでに存在しており、 [TYPE] が MEMBER の場合、マシンの参加は自動的に行なわれる (コンピューターアカウントがサーバーマネージャで作成済の場合)。 それ以外の場合は、パスワードの入力が求められ、新しいコンピューターアカウントが作成される。
[TYPE] は、ドメインに参加するコンピューターのタイプを指定するもので、 PDC、BDC、MEMBER のいずれかの値をとる。
[FQDN] (ADSのみ) join の際に dnsHostName 属性を設定する。規定の形式は netbiosname.dnsdomain である。
[UPN] (ADS のみ)ドメインに参加する時のプリンシパル名属性を設定する。既定値の形式は host/netbiosname@REALM である。
[OU] (ADSのみ)指定した OU 中にあらかじめコンピューターアカウントを作成する。 OU 文字列は RDN なしで、'/'をデリミターとして、初めから最後まで読まれる。 シェルと LDAP の両方で '\' がエスケープとして使われるため、その文字そのものを 渡すためには、二重に書くか、4 重に書く必要があり、デリミターとしては扱われない。
[PASS] (ADS のみ) joinによって作成されたコンピューターアカウントのパスワードを指定する。
[osName=string osVer=String] (ADS のみ) join 時に OS と OS バージョン属性を指定する。 両パラメーターを有効にするためには、どちらかを指定する必要がある。
ドメインに参加する。従来の方式によるドメイン参加を行なう場合は、 OLDJOIN オプションを使用すること。 参加を行なうには、事前にサーバーマネージャーでコンピューターアカウントを作成しておくことが必要である。
user
[password
]指定したユーザーがリモートサーバーにログオン可能かどうかを確認する。 コマンドラインでパスワードが指定されなかった場合は、入力を求められる。
Currently NOT implemented.
Samba は 'gencache' という汎用のキャッシュインタフェースを用いている。 これは 'NET CACHE' コマンドにより制御可能である。
タイムアウトに関するパラメーターはすべて、以下のサフィックスをサポートしている。
s - 秒 |
m - 分 |
h - 時 |
d - 日 |
w - 週 |
Windows のグループ ID と UNIX のグループ ID との対応づけを行なう。 共通のオプションを以下に示す。
unixgroup - UNIX のグループ名
ntgroup - Windows NT のグループ名(SID が解決可能である必要がある。)
rid - 符号なし 32 ビット整数
sid - "S-1-..." 形式の完全な SID
type - グループのタイプ。'domain'、'local'、'builtin' のいずれか。
comment - 任意の文字列によるグループの説明
新しいグループマップのエントリを追加する。
net groupmap add {rid=int|sid=string} unixgroup=string \ [type={domain|local}] [ntgroup=string] [comment=string]
グループマップのエントリを削除する。 複数のエントリがマッチした場合、最初にマッチしたエントリが削除される。
net groupmap delete {ntgroup=string|sid=SID}
DOMAIN
DOMAIN
のドメイン間信頼アカウントをリモートサーバーに追加する。
これは実際、アカウントフラグ 'I'
(ドメイン間信頼アカウント)を伴う、
DOMAIN$
と言う名のSambaアカウントである。
これは、incoming trustsが機能するために必要である。これにより、
Sambaは外部(信頼する側)ドメインの信頼される側のドメインになる。
Sambaドメインのユーザーは、外部ドメインで使用可能になる。
もしも、localhost に対してコマンドが使われるならば、
smbpasswd -a -i DOMAIN
と同じ影響を及ぼす。
両コマンドとも適切な UNIX アカウントを必要とすることに注意。
lsaCreateTrustedDomainEx2を呼び出すことで、trust object を 作成する。これは、ランダムな trust パスワードを使う可能性がある、一つまたは 二つのサーバー上で同時に行うことができる。
オプション:
2 番目のドメインのドメインコントローラー
2 番目のドメインの Admin user
2 番目のドメインの SID
2 番目のドメインの(短い)NetBIOS 名
2 番目のドメインの(完全な)DNS 名
Trust password
使用例:
net rpc trust create \
otherdomainsid=S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx \
other_netbios_domain=dom2 \
otherdomain=dom2.dom \
trustpw=12345678 \
-S srv1.dom1.dom
net rpc trust create \
otherserver=srv2.dom2.test \
otheruser=dom2adm \
-S srv1.dom1.dom
lsaDeleteTrustedDomain を呼び出すことで、trust object を削除する。 これは、一つまたは二つのサーバーで同時に行なうことができる。
オプション:
2 番目のドメインのドメインコントローラー
2 番目のドメインの Admin user
2 番目のドメインの SID
使用例:
net rpc trust delete \
otherdomainsid=S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx \
-S srv1.dom1.dom
net rpc trust delete \
otherserver=srv2.dom2.test \
otheruser=dom2adm \
-S srv1.dom1.dom
リモートサーバーをシャットダウンする。
シャットダウン後に再起動する。
すべてのアプリケーションを強制的に終了させる。
システムをシャットダウンさせる前のタイムアウト時間を指定する。システムに対話的ログオンしているユーザーは、この期間にシャットダウンをキャンセルすることができる。
シャットダウンの通知を行なう際に、指定したメッセージを画面上に表示する。
リモートサーバーからユーザー、エイリアス、グループをローカルサーバー上にエクスポートする。ドメインに参加した BDC 上で、PDC に対してのみ実行することが可能である。 この vampire コマンドは、NT4 ドメインコントローラ専用で、Active Directory に対しては使えない。
LINKDN
] [GPODN
]GPO にコンテナをリンクする。LINKDN
GPO にリンクするコンテナ。GPODN
コンテナにリンクする GPO 。DN は適切にエスケープして提供されねばならない。詳細は RFC 4514 を参照のこと。
Active Directory 環境において、ローカルマシンのコンピューターアカウントの状態を表示する。
表示内容は、デバッグ情報のようなものであり、開発者向けのものである。
一般のユーザーは NET ADS TESTJOIN
を使うべきである。
EXPRESSION
ATTRIBUTES...
Active Directory のサーバーに対して低レベルな LDAP 検索を行ない、その結果を表示する。 EXPRESSION は標準の LDAP 検索表記で行ない、 ATTRIBUTES は結果中に表示する LDAP 属性型の一覧である。
例: net ads search '(objectCategory=group)' sAMAccountName
DN
(attributes)
Active Directory のサーバーに対して低レベルな LDAP 検索を行ない、その結果を表示する。 DN は標準の LDAP DN であり、 attributes は結果中に表示する LDAP 属性型の一覧である。
例: net ads dn 'CN=administrator,CN=Users,DC=my,DC=domain' SAMAccountName
CREATE
既定値のエントリに存在していない場合に、新しい keytab ファイルを作成する。 既定値のエントリは、クライアントのマシン名から作成された kerberos プリンシパル、 (存在していれば) UPN と、クライアントのコンピュータ AD アカウントに関連づけられた 任意の Windows SPN である。keytab ファイルがすでに存在している場合は、 既定値のエントリから、欠けている kerberos プリンシパルのみが追加される。 コンピュータ AD アカウントへの更新はない。
ADD
(principal | machine | serviceclass | windows SPN
新しい keytab エントリを追加する。エントリは以下のどれかである;
kerberos プリンシパル ('@'が存在することで識別)が keytab ファイルに 追加される。
keytab ファイルに追加される、 'machinename@realm' 形式の kerberos プリンシパルを 作成するために、マシン名 (末尾の '$' によって識別) が使われる。
keytab ファイルに追加される、kerberos プリンシパルのペア 'serviceclass/fully_qualified_dns_name@realm' と 'serviceclass/netbios_name@realm' を作成するために、サービスクラス ('cifs', 'html' など) が使われる。
keytab ファイルに書き込まれる kerberos プリンシパル 'serviceclass/host@realm' を作成するのに使われる、 'serviceclass/host:port' 形式の Windows SPN。
古いバージョンとは異なり、このコマンドではコンピュータの AD オブジェクトは 1つも変更されない。古いクライアントの動作にするには、 'net ads keytab ad_update_ads' を使う。
ADD_UPDATE_ADS
(principal | machine | serviceclass | windows SPN
新しい keytab エントリを追加する(net ads keytab add 節を参照)。 keytab ファイルにエントリを追加する事に加えて、関連した Windows SPN は このコマンドに渡されたパスから生成される。SPN は、以下のエントリタイプに対して、 このコマンドを実行しているクライアントマシンに関連づけられる、AD のコンピュータ アカウント オブジェクトに追加される。
サービスクラス (たとえば 'cifs', 'html' など) は、このクライアント用に AD コンピュータアカウントオブジェクトに追加される Windows SPN ペア 'param/full_qualified_dns' と 'param/netbios_name' を作成するのに使われる。
Windows SPN の形式は 'serviceclass/host:port' であり、このクライアント用に、 AD コンピュータアカウントオブジェクトに渡されたとおりに追加される。
SETSPN LIST [machine]
'machine' の Windows AD Computer オブジェクトに格納されている Windows SPN を一覧表示する。 'machine' が指定されていない場合は、このクライアントのコンピュータアカウントが代わりに 使われる。
SETSPN ADD SPN [machine]
'machine' の Windows AD Computer object に、指定された Windows SPNを追加する。 'machine' が指定されていない場合は、このクライアントのコンピュータアカウントが代わりに 使われる。
SETSPN DELETE SPN [machine]
'machine' の Windows AD Computer オブジェクトから指定された Windows SPN を削除する。 'machine' が指定されていない場合は、このクライアントのコンピュータアカウントが代わりに 使われる。
AD 中の、アカウントにおける "msDS-SupportedEncryptionTypes" 属性値の表示、変更あるいは削除
この属性は、どの Kerberos 暗号化タイプが、初期およびサービスチケットの生成に使われるかを制御する。その値には、以下で示される整数型のビットマスクを含む:
0x00000001 DES-CBC-CRC
0x00000002 DES-CBC-MD5
0x00000004 RC4-HMAC
0x00000008 AES128-CTS-HMAC-SHA1-96
0x00000010 AES256-CTS-HMAC-SHA1-96
<ACCOUNTNAME>
与えられたアカウントの "msDS-SupportedEncryptionTypes" 属性値を一覧表示する。
例: net ads enctypes list Computername
<ACCOUNTNAME>
[enctypes]
ACCOUNTNAME の LDAP オブジェクトの "msDS-SupportedEncryptionTypes" 属性値に、与えられた値を設定する。値が省略された場合は、すべての、現在サポートされている暗号化タイプを有効にする 31 が設定される。
例: net ads enctypes set Computername 24
<ACCOUNTNAME>
ACCOUNTNAME の LDAP オブジェクトの "msDS-SupportedEncryptionTypes" 属性を削除する。
例: net ads enctypes set Computername 24
BUILTINグループを(再)作成する。 このコマンドでは通常使われる BUILTIN グループのみ作成できる。 以下は、現在設定されるグループ名である: Administrators, Users, Guests, Power Users, Account Operators, Server Operators, Print Operators, Backup Operators, Replicator, RAS Servers, Pre-Windows 2000 compatible Access このコマンドは idmap の割り当てが適切に構成されている Winbindd が動いている事を要求する。 グループの gid は winbindd のレンジの範囲外に割り当てられる。
ローカルグループを作成する(別名である)。 このコマンドは idmap の割り当てが適切に構成されている Winbindd が動いている事を要求する。 グループの gid は winbindd のレンジの範囲外に割り当てられる。
名前によるひとまとまりのアカウントを一覧表示する。もしも verbose が指定されていたら、 rid と description も各々のアカウントに対して提供される。
もしも、ldapsam:editposix が設定されて、winbindd が動作中の時有効である。 ldap の DIT 上の、基本的なアカウント(Administrator)とグループ(Domain Users, Domain Admins, Domain Guests)とともに、ldap DIT を 適切に populate する。
指定したローカルの tdb ファイル中にあるマッピングをダンプする。このコマンドは、 idmap_tdb バックエンドによって生成されたマップのダンプにのみ有用である。
指定したドメインのために、secret を格納し、おもに idmap_ldap をバックエンドとして使う ドメインのために使われる。この場合 secret は ldap サーバーに対してバインドするユーザー DN のパスワードとして使われる。
autorid データベース中に、与えられたドメイン(とインデックス)用のドメイン-レンジマッピングを格納する。
IDMAP データベースから、マップされた sid <-> gid あるいは sid <-> uid を 削除する。マップは sid: S-x-....よりもより簡単な <ID> 、gid: "GID 番号" あるいは uid: "UID 番号" によって与えられる。 不正な部分的なマッピング <ID> -> xx を削除するには -f を使う。
動作している smbd インスタンスに通知をするためには "smbcontrol all idmap ..." を使う。詳細は smbcontrol(1) マニュアルページを参照。
autorid データベースから、'レンジ' または 'ドメイン SID とインデックス' で識別されるドメインレンジマッピングを削除する。 -f は、不正なマッピングを削除するのに使う。
SID で識別されるドメインの、すべてのドメインレンジマッピングを削除する。 -f は、不正なマッピングを削除するのに使う。
IDMAP データベースの検査と修復を行う。もしも、オプションが何も指定されないと、 データベースに対するリードオンリーのチェックが行われる。とりわけ、対話的または 自動修復モードでは以下のオプションの一つを選んでも良い。
対話的修復モードで、数多くの質問を要求してくる。
非対話的修復モードで、既定値を利用する。
より多くの出力を生成する。
もしも、きれいに適用されなくても、変更を適用する。
試験実行であり、どのような変更が行われるかを表示するが何も変更しない。
検査中にデータベースをロックする。
指定されたデータベースを検査する。
これは、見つかった以下のエラーを報告する:
B->A が無いのに A->B がマッピングされているレコード。修復モードにおける 既定値の動作は、逆方向のマッピングを追加することでこれを "修復" する。
B->C なのに A->B というマッピングがあるレコード。既定値の動作は このレコードを "削除" する。
データベース中で最も大きな ID に対して、少なくとも water mark が等しくない。 既定値の動作は見つかった、最も大きな ID+1 にこれを設定することで 修復する。
何らかの理由で解析に失敗した。既定値の動作は、対話モードでは "編集" で、自動モードでは "削除" である。
Samba 3.0.23 より、root 以外のユーザーが "net usershare" コマンドを用いてユーザー 定義共有を公開する機能が追加された。
これを行なうには、まず ${prefix}/etc/smb.conf
の [global] セクションに以下を追加する必要がある:
usershare path = /usr/local/samba/lib/usershares
次に /usr/local/samba/lib/usershares ディレクトリを作成し、所有者を root に、
所有グループをユーザー定義共有の作成を許可したい UNIX グループ、例えば "serverops" とする。
/usr/local/samba/lib/usershares のパーミッションは 01770 に設定する。
(所有者と所有グループには完全なアクセス権があり、その他にはアクセス権が全くない。
さらにスティッキービットにより、ディレクトリ中のファイルについて、名前の変更や削除
が行なえるのはファイルの所有者のみとなる)
最後に、${prefix}/etc/smb.conf
の [global] セクションに以下のような行を追加することで、
作成可能なユーザー定義共有の最大数を smbd に設定する:
usershare max shares = 100
これにより、最大 100 のユーザー定義共有を設定可能となる。
これにより "serverops" という UNIX グループのメンバーは必要に応じて以下のコマンドを実行することで、
ユーザー定義共有を作成することが可能となる。
ユーザー定義共有に関するコマンドを以下に示す:
net usershare add sharename path [comment [acl] [guest_ok=[y|n]]] - ユーザー定義の共有の追加または変更 |
net usershare delete sharename - ユーザー定義の共有の削除 |
net usershare info [-l|--long] [wildcard sharename] - ユーザー定義の共有の情報の出力 |
net usershare list [-l|--long] [wildcard sharename] - ユーザー定義の共有の一覧表示 |
sharename
path
[comment]
[acl]
[guest_ok=[y|n]]
sharename というユーザー定義共有の新規作成または修正(上書き)を行なう。
"path" には、公開するディレクトリのシステム上での絶対パス名を指定する。
公開可能なディレクトリには幾つかの制約がある。
グローバルな ${prefix}/etc/smb.conf
のパラメーターである "usershare owner only" ,
"usershare prefix allow list", "usershare prefix deny list" を参照のこと。
オプションの "comment" パラメーターは、クライアントから共有を参照した際に表示されるコメント文字列を指定する。
オプションの "acl" フィールドは、共有単位でどのユーザーに読み取りや書き
込みのアクセス許可を与えるかを指定する。ゲストアクセスは、 ${prefix}/etc/smb.conf
の
"usershare allow guests" パラメーターを有効にしない限り行なえないことに注意。
ユーザー定義共有の ACL の指定は "user:permission" という形式で行なわれる。
user はシステムで有効なユーザー名であり、permission は "F"、"R"、"D" の
いずれかである。"F" は「フルコントロール」、すなわち読み取りと書き込み
権を示す。"D" は「拒否」を示し、ユーザーの共有へのアクセスを許可しない。
"R" は「読み取り専用」、すなわちこの共有への読み取りアクセスのみの許可
を示す(ファイルへの書き込みやファイルやディレクトリの新規作成は行なえない)。
"acl" オプションが指定されなかった場合のデフォルトは "Everyone:R" である。これは、認証されたすべてのユーザーが読み取り専用のアクセス権を有することを意味する。
オプションの "guest_ok" パラメーターは、${prefix}/etc/smb.conf
中の同名のパラメーターと
同じ意味を持ち、該当のユーザー定義共有に対するゲストアクセスを許可する。
このパラメーターは、 ${prefix}/etc/smb.conf
中でグローバルパラメーターの "usershare allow guests" が
有効になっている時のみ設定できる。
既存のユーザー定義共有を修正するコマンドは個別に用意されておらず、 "net usershare add [sharename]" コマンドを用いて、sharename 共有を新規のオプションを指定して上書き変更することになる。 Samba の smbd デーモンは、接続のあったタイミングでユーザー定義共有の変更を検知するのため、変更は即座に反映される。ユーザー定義共有の追加、削除、変更により、smbd の再起動を行なう必要はない。
sharename
指定されたユーザー定義共有を削除する。 Samba smbd デーモンは即座にこの変更を検知するが、削除された共有にその時点で接続中のユーザーが切断されることはない。
[-l|--long]
[wildcard sharename]
指定されたパターンに合致するユーザーによって所有されている、またはすべてのユーザー定義共有の情報が表示される。
net usershare info は、実行したユーザーが作成したユーザー定義共有の詳細情報を表示するが、ワイルドカード情報 ("*" は1文字以上の文字にマッチし、"?" は1文字のみにマッチする) が指定されている場合は、それにマッチした共有のみを表示する。 "--long" オプションが指定されていた場合、他のユーザーが作成したユーザー定義共有の情報も表示する。
各共有についての情報は以下のような形式で設定される: [foobar] path=/home/jeremy comment=testme usershare_acl=Everyone:F guest_ok=n これは、"net usershare add" コマンドで現状設定可能なユーザー定義共有の設定一覧である。
バージョン 3.2.0から、Sambaサーバーはレジストリにデータを格納することにより 設定する事ができるようになった。この設定データは新しい"net conf"コマンドで編集できる。 また、RPC confモードを有効にすることと、リモートサーバーのアドレスを指定することによって、 リモートのSambaサーバーを設定することもできる。
この設定データの配布は
${prefix}/etc/smb.conf
ファイルから2つのレベルで有効にできる。
レジストリからの共有定義は[global]セクション中でregistry shares
を「yes」にすることで有効にでき、
グローバルオプションは、複合設定の場合、[global]セクション中でinclude = registryを設定することで、
レジストリのみの設定の場合は、[global]セクション中で、config backend = registryを設定することで有効になる。
詳細はsmb.conf(5)マニュアルページを参照のこと。
conf コマンドは以下のとおり:
net [rpc] conf list - smb.conf風の形式で完全な設定をダンプ |
net [rpc] conf import - smb.conf形式で設定をインポート |
net [rpc] conf listshares - レジストリ共有を一覧表示 |
net [rpc] conf drop - レジストリから全部の設定を削除 |
net [rpc] conf showshare - レジストリ共有の定義を表示 |
net [rpc] conf addshare - 新しいレジストリ共有を作成 |
net [rpc] conf delshare - レジストリ共有を削除 |
net [rpc] conf setparm - パラメーターを格納 |
net [rpc] conf getparm - パラメーターの値を検索 |
net [rpc] conf delparm - パラメーターを削除 |
net [rpc] conf getincludes - 共有定義のインクルードを表示 |
net [rpc] conf setincludes - 共有のためのインクルードを設定 |
net [rpc] conf delincludes - 共有定義からインクルードを削除 |
[--test|-T]
filename
[section]
このコマンドは、smb.conf形式で、ファイルから設定情報をインポートする。もしも、 レジストリ中に存在するセクションが入力ファイル中に存在するならば、その内容は 置き換えられる。入力ファイル中に対となるものがない、レジストリ中のセクションは 何ら影響はない。もしも、それらを削除したいならば、"net conf drop" か "net conf delshare"を使うこと。 任意ではあるが、その、指定したセクションに対するimportコマンドの影響を避けるためにあるセクションを指定してもよい。テストモードはパラメーター"-T"をコマンド行に 指定することで有効に出来る。テストモードでは、レジストリに対する変更は行われず、 設定の結果が代わりに標準出力に出力される。
sharename
指定したセクションまたは共有の定義を表示する。レジストリから、global設定オプションを検索するために、"global"を共有名として指定するのは有効である。
sharename
path
[writeable={y|N}
[guest_ok={y|N}
[comment
]]] レジストリ中に新しい共有定義を作成する。 共有名とパス両方が必要である。共有名は"global"としてはいけない 。 そのほか、とても一般的なオプション、"writeable", "guest ok" と "comment" も指定出来る。同じ結果は、一連の"net conf setparm"コマンドによって得てもよい。
section
parameter
value
パラメーターをレジストリに格納する。セクションはglobalか共有名である。 セクションは、模試も存在しないならば、作成される。
section
(globalまたは共有の)提供されたセクションの、includeのリストを得る。
データベースとinclude ディレクティブの種類により、include は特別の扱いが必要で あることに注意。パラメーター名が値の名前として、パラメーターがレジストリに格納されるので、 共有ごとにパラメーターのインスタンスは1つだけである。 また、テキストファイル中の指定したような順番は認められない。すべての真の パラメーターに対して、これは完全に問題がないが、include ディレクティブは smb.conf テキストファイル中では、むしろメタパラメーターであるので、他のパラメーター との間での場所の指定はとても重要である。これは単純な smbconf データモデルによって は実現できないので、共有後とに一つの順番のリストがあり、このリストはすべての 共有パラメーターの後に評価される。
さらに、現在、レジストリ構成からファイルのみインクルードできる。将来は、 他のレジストリキーから設定データをインクルードできる予定である。
Manipulate Samba's registry. Samba のレジストリを操作する。
レジストリコマンドは以下の通り:
net registry enumerate - numerate registry keys and values.レジストリキーと値に番号を振る。 |
net registry enumerate_recursive - Enumerate registry key and its subkeys.レジストリキーとそのサブキーに番号を振る。 |
net registry createkey - Create a new registry key.新しいレジストリキーを作成する。 |
net registry deletekey - Delete a registry key.レジストリキーを削除する。 |
net registry deletekey_recursive - Delete a registry key with subkeys.レジストリキーとそのサブキーを削除する。 |
net registry getvalue - Print a registry value.レジストリキーの値を印刷する。 |
net registry getvalueraw - Print a registry value (raw format).レジストリキーの値を印刷する(生の値で)。 |
net registry setvalue - Set a new registry value.新しいレジストリ値を設定する。 |
net registry increment - Increment a DWORD registry value under a lock.ロックしている状態で、DWORDレジストリ値を増やす。 |
net registry deletevalue - Delete a registry value.レジストリ値を削除する。 |
net registry getsd - Get security descriptor.セキュリティ識別子を得る。 |
net registry getsd_sdd1 - Get security descriptor in sddl format.sddl形式でセキュリティ識別子を得る。 |
net registry setsd_sdd1 - Set security descriptor from sddl format string.sddl形式文字列でセキュリティ識別子を設定する。 |
net registry import - Import a registration entries (.reg) file.レジストリエントリー(.reg)ファイルをインポートする。 |
net registry export - Export a registration entries (.reg) file.レジストリエントリー(.reg)ファイルをエクスポートする。 |
net registry convert - Convert a registration entries (.reg) file.レジストリエントリー(.reg)ファイルを変換する。 |
net registry check - Check and repair a registry database. レジストリデータベースを検査し修復する。 |
key
name
type
value
...存在するkeyに対するnameの値を設定する。
typeは、sz、
multi_sz か dwordのうちのどれかが選べる。
multi_sz 値
の場合は、
複数個設定できる。
file
[--precheck <check-file>] [opt]
レジストリエントリー(.reg)fileファイルをインポートする。
以下のオプションが存在する:
ファイルを検査
これは、インポートファイルを適用する前に、事前チェックファイル中で指定された、 特定のキーまたは値の存在(あるいは非存在)を検査するメカニズムである。 インポートファイルは、もしも事前チェックが成功した場合にのみ適用される。
チェックファイルは以下の文法を使う、通常のレジストリファイル文法に従う。
<value name>=<value> は、値が存在して、与えられた 値かどうかを検査する。
<value name>=- は、値が存在しないかを検査する。
[key] は、キーが存在するかを検査する。
[-key] は、キーが存在しないかを検査する。
レジストリデータベースの検査と修復を行う。もしもオプションが指定されなければ、 リードオンリのデータベース検査が行われる。特に、対話的あるいは自動での 修復モードは以下のオプションのどれかを選択できる。
対話的な修復モードで、数多くの質問に答える必要がある。
非対話修復モードで、既定値の回答を使用する。
より詳細な出力を行う。
テストモードであり、どのような変更が行われるかを表示するが、何らの 変更も行わない。
検査中にデータベースをロックする。
レジストリデータベースの形式を指定する。指定されなかった場合、 バイナリの値を既定値とするか、もしもコマンドラインで registry.tdb を 明確指定して起動した場合、INFO/versionレコード中で見つかった値に設定される。
指定されたデータベースを検査する。
入力を変更する代わりに新しいレジストリデータベース <ODB> を作成する。 もしも、<ODB> がすでに存在する場合は、--wipe を指定して、それを 上書きすることもできる。
入力を変更する代わりに、レジストリデータベースを置き換えるか、 存在する出力データベースを上書きする。
Samba 3.4.3 から、net コマンドはネイティブな WIN32 イベントログファイル (通常 *.evt) の読み取り、ダンプ、インポート、エクスポートが可能となった。 evt ファイルはネイティブな Windows のイベントビューワツールによって使われる。
evtファイルのインポートとエクスポートは、${prefix}/etc/smb.conf
ファイル中でeventlog list
が定義されている時のみ
行える。詳細は smb.conf(5) マニュアルページを参照のこと。
eventlog のサブコマンドは以下の通り:
net eventlog dump - イベントログファイル *.evt の内容を画面上にダンプする。 |
net eventlog import - イベントログファイル *.evt を、イベントログを保持する Samba 内部の tdb ファイルにインポートする。 |
net eventlog export - Samba内部の tdb 形式によるイベントログをイベントログファイル *.evt にエクスポートする。 |
filename
eventlog
filename
によって定義されたイベントログファイル *.evt
を、eventlog
で定義した Samba 内部の tdb 形式によるイベン
トログファイルにインポートする。
eventlog
には ${prefix}/etc/smb.conf
中で定義されている
eventlog list
が一部必要となる。詳細は、
smb.conf(5)
マニュアルページを参照のこと。
filename
eventlog
eventlog
で定義されている、Samba内部のtdb形式によるイベントログを
filename
で定義されているイベントログファイル *.evt にエクスポートする。
eventlog
は ${prefix}/etc/smb.conf
中で定義されている
eventlog list
の一部を必要とする。詳細は、
smb.conf(5)
マニュアルページを参照のこと。
バージョン 3.2.0 から、Sambaではクライアントまたはサーバーサイドから、リモートでマシンをドメインに参加・削除させる API がサポートされた。Windowsでは、リモートでマシンをメンバーに参加させる機能はWindows 2000 からサポートされていた。
Sambaでリモートでマシンをドメインに追加または削除するには、操作するアカウントが Domain Admins グループのメンバーか、Administrators グループのメンバーか、または「SeMachineAccountPrivilege 権限が付与されている」のいずれかでなければならない。
クライアント側でリモートでマシンをドメインに参加させる net dom コマンドは以下の通り。
net dom join - リモートでマシンをドメインに参加させる |
net dom unjoin -リモートでマシンをドメインから削除する |
net dom renamecomputer - ドメインに参加しているリモートコンピューターの名前を変更する。 |
domain=DOMAIN
ou=OU
account=ACCOUNT
password=PASSWORD
reboot
リモートでマシンをドメインに参加させる。このコマンドがサポートするパラメーターは以下のとおり:
DOMAIN
には、NetBIOS名(ショートドメイン名とも言う)または ActiveDirectoryのDNSドメイン名を指定する。Windows の場合、使用するドメインコントローラーを選択できる。その場合 "\" で区切ってドメインコントローラーの名前を指定する(例:MYDOM\MYDC)。DOMAIN
に空は指定できない。
OU
には、既定値ではないLDAPコンテナーにマシンアカウントを作成する場合、RFC 1779のLDAP DN(例:ou=mymachines,cn=Users,dc=example,dc=com)で指定する。この、任意のパラメーターは、リモートマシンをActiveDirectoryドメインに参加する場合のみサポートされる。
ACCOUNT
には、参加させるマシンのドメインアカウントを指定する。このドメインアカウントには、マシンを追加できる適切な権限が付与されている必要がある。
PASSWORD
には、ACCOUNT
で指定されたドメインアカウントのパスワードを指定する。
REBOOT
は任意のオプションで、マシンが正しくドメインに参加できたときに再起動させたいときに指定する。
ドメインに参加させたいマシンに接続して認証を行う場合、-S コンピューター や -U ユーザー のように net で標準的に使用されるパラメーターを別途指定する必要があることに注意。
例: net dom join -S xp -U XP\\administrator%secret domain=MYDOM account=MYDOM\\administrator password=topsecret reboot.
この例では、XP というマシンにローカル管理者としてパスワード secret で接続し、ドメイン MYDOM にドメイン管理者としてパスワード topsecret でドメインに参加させている。ドメインに参加した後にマシンは再起動する。
account=ACCOUNT
password=PASSWORD
reboot
ドメインからマシンを削除する。このコマンドでは次のパラメーターを指定する。
ACCOUNT
には、削除するマシンのドメインアカウント名を指定する。このドメインアカウントには、マシンを削除できる権限が付与されている必要がある。
PASSWORD
には、ACCOUNT
で指定したドメインアカウントのパスワードを指定する。
REBOOT
は任意のオプションで、マシンがドメインから削除されたときに再起動させたいときに指定する。
ドメインから削除したいマシンに接続して認証を行う場合、-S コンピューター や -U ユーザー のようにnetで標準的に使用されるパラメーターを別途指定する必要があることに注意。
例: net dom unjoin -S xp -U XP\\administrator%secret account=MYDOM\\administrator password=topsecret reboot.
この例では、XP というマシンにローカル管理者としてパスワード secret で接続し、ドメイン MYDOM にドメイン管理者としてパスワード topsecret でドメインから削除している。ドメインから削除された後にマシンは再起動する。
newname=NEWNAME
account=ACCOUNT
password=PASSWORD
reboot
ドメインに参加しているコンピューターの名前を変更する。 このコマンドは以下のサブパラメーターをサポートする:
NEWNAME
ドメイン中の新しいマシンの名前を定義する。
ACCOUNT
ドメイン中でマシンの名前を変
更する時に使うドメインアカウントを定義する。このドメインアカウントはマシン名を
変更するために必要な権限を持つ必要がある。
PASSWORD
ACCOUNT
で定義されるドメインアカウントのパスワードを定義する。
REBOOT
はオプションのパラメーターで、ドメイン中で名前の変更が成功した後にマシンをリブートするように設定する。
ドメイン中で名前を変更したいリモートマシンに、標準の net パラメーターを使って接続と 認証を行う必要があることに注意。それらの追加のパラメーターには -S コンピューター名 と -U ユーザー名を含む。
例: net dom renamecomputer -S xp -U XP\\administrator%secret newname=XPNEW account=MYDOM\\administrator password=topsecret reboot.
この例では、XP という名前のコンピューターに、パスワードが secret のローカルの Administrator として接続し、ドメインに参加しているコンピューターの名前を、 MYDOM というドメインの管理者のアカウントとパスワード topsecret を使って、 XPNEW に変更している。変更が成功したら、コンピューターを再起動する。
グローバルロックの管理
VFS 経由で共有ファイルシステムにアクセスする。
share
path
ファイルストリームを AppleDouble ファイルに変換する。
share
Samba の共有。
path
Samba 共有中のファイルに対する相対パス。
"." は共有におけるルートディレクトリとして使われる。
オプション:
ディレクトリ階層をたどる。
詳細出力。
ある変換作業に失敗しても、引き続きディレクトリ階層をたどる。
ディレクトリ階層をたどっているとき、シンボリックリンクもだどる。
バージョン 4.15 のSamba から、offline join API をサポートするようになった。Windows では Windows 7 と Windows 2008 R2 から offline join 機能をサポートしている。
以下のオフラインコマンドが実装されている:
net offlinejoin provision - Provisions a machine account in AD. |
net offlinejoin requestodj - Requests a domain offline join. |
domain=DOMAIN
machine_name=MACHINE_NAME
machine_account_ou=MACHINE_ACCOUNT_OU
dcname=DCNAME
defpwd
reuse
savefile=FILENAME
printblob
AD 内でマシンアカウントをプロビジョンする。このコマンドは、処理が成功するために、ドメインコントローラに対するネットワーク接続を必要とする。このコマンドは以下の追加パラメータをサポートする:
DOMAIN
は、Active Directory ドメインの、NetBIOS ドメイン名 (ショートドメイン名としても知られている) あるいは DNS ドメイン名でもよい。 DOMAIN
パラメータは NULL であってはならない。
MACHINE_NAME
は、AD 内でプロビジョンされる マシンアカウント名を定義する。MACHINE_NAME
パラメータは NULL であってはならない。
MACHINE_ACCOUNT_OU
は、 既定でない LDAP コンテナ中で マシンアカウントを作成するために、ou=mymachines,cn=Users,dc=example,dc=com のように、RFC 1779 LDAP DN に設定できる。このオプションパラメータは、Active Directory ドメインに join するときのみサポートされる。
DCNAME
は、AD 内でマシンアカウントを作成するときに、特定のドメインコントローラを定義する。
DEFPWD
はオプションのパラメータで、既定のマシンアカウントパスワード使用を強制する。このパラメータの使用は、既定のマシンアカウントパスワードが容易に推測されるため、推奨されない。
REUSE
はオプションのパラメータで、AD 内の既存のマシンアカウントを再使用するように強制する。
SAVEFILE
はオプションのパラメータで、生成されたプロビジョニングデータをディレクトリに格納する。
PRINTBLOB
はオプションのパラメータで、生成されたプロビジョニングデータを標準出力に出力する。
例: net offlinejoin provision -U administrator%secret domain=MYDOM machine_name=MYHOST savefile=provisioning.txt
バージョン 4.20 から、Samba は クラスタ中で SMB Witness サービスをサポートするように なった。
以下の witness コマンドが実装されている:
net witness list rpcd_witness_registration.tdb から witness 登録状態を一覧表示。 |
net witness client-move 新しい IP またはノード への witness 登録用の クライアント移動通知を生成。 |
net witness share-move 新しい IP またはノード への witness 登録用の 共有移動通知を生成。 |
net witness force-unregister witness 登録の登録削除を強制的的に実行。 |
net witness force-response json 入力に基づいて AsyncNotify 応答を強制 (主にテスト用)。 |
rpcd_witness_registration.tdb からの witness 登録情報を一覧表示
注意: clustering=yes の時にのみサポート!
機械可読な出力は以下のオプションで生成できる:
--json
登録の選択は以下のオプションで制限できる:
--witness-registration=REGISTRATION_UUID
これは、データベース検索を実行する代わりに REGISTRATION_UUID を直接検索する。
以下のオプションはすべて POSIX 拡張正規表現が使え、 登録の選択をさらにフィルタすることができる。 これらのオプションは論理和として適用されるが、各 REGEX は パイプ記号を使うことで複数の文字列を指定できる。
--witness-net-name=REGEX
これはモニタリングのためにクライアントが登録した 「サーバ名」を指定する。
--witness-share-name=REGEX
これはモニタリングのためにクライアントが登録した 「共有名」を指定する。 共有名は登録時にはオプションであることに注意。 それ以外の場合は、空の文字列が一致する。
--witness-ip-address=REGEX
これは、クライアントがモニタリングのために登録した IP アドレスを指定する。
--witness-client-computer-name=REGEX
これは、登録中にクライアントが指定したコンピュータ名を 指定する。 これは単にクライアント自身が選択した文字列であることに 注意。
新しい IP またはノード への witness 登録用の クライアント移動通知を生成
注意: clustering=yes の時にのみサポート!
機械可読な出力は以下のオプションで生成できる:
--json
登録の選択は以下のオプションで制限できる:
--witness-registration=REGISTRATION_UUID
これは、データベース検索を実行する代わりに REGISTRATION_UUID を直接検索する。
以下のオプションはすべて POSIX 拡張正規表現が使え、 登録の選択をさらにフィルタすることができる。 これらのオプションは論理和として適用されるが、各 REGEX は パイプ記号を使うことで複数の文字列を指定できる。
--witness-net-name=REGEX
これはモニタリングのためにクライアントが登録した 「サーバ名」を指定する。
--witness-share-name=REGEX
これはモニタリングのためにクライアントが登録した 「共有名」を指定する。 共有名は登録時にはオプションであることに注意。 それ以外の場合は、空の文字列が一致する。
--witness-ip-address=REGEX
これは、クライアントがモニタリングのために登録した IP アドレスを指定する。
--witness-client-computer-name=REGEX
これは、登録中にクライアントが指定したコンピュータ名を 指定する。 これは単にクライアント自身が選択した文字列であることに 注意。
更新を全ての登録に適用する必要がある場合は、以下のように明示的に指定する 必要がある:
--witness-apply-to-all
これは全ての登録を選択する。 注意:これは上記のオプションと相互排他的である。
CLIENT_MOVE 通知の内容には 以下のオプションで(正確に一つ)で指定された IP アドレスが含まれている:
--witness-new-node=NODEID
NODEID を指定することで、指定されたノード上で現在 すべての有効な IP アドレスが応答中に含まれる。 NODEID として '-1' を指定すると、クラスタの全ての IP アドレスが応答中に含まれる。
--witness-new-ip=IPADDRESS
ある IPADDRESS のみを指定することで、指定された IP アドレスが 応答中に含まれる。
新しい IP またはノード への witness 登録用の 共有移動通知を生成
注意: clustering=yes の時にのみサポート!
機械可読な出力は以下のオプションで生成できる:
--json
登録の選択は以下のオプションで制限できる:
--witness-registration=REGISTRATION_UUID
これは、データベース検索を実行する代わりに REGISTRATION_UUID を直接検索する。
以下のオプションはすべて POSIX 拡張正規表現が使え、 登録の選択をさらにフィルタすることができる。 これらのオプションは論理和として適用されるが、各 REGEX は パイプ記号を使うことで複数の文字列を指定できる。
--witness-net-name=REGEX
これはモニタリングのためにクライアントが登録した 「サーバ名」を指定する。
--witness-share-name=REGEX
これはモニタリングのためにクライアントが登録した 「共有名」を指定する。 共有名は登録時にはオプションであることに注意。 それ以外の場合は、空の文字列が一致する。
--witness-ip-address=REGEX
これは、クライアントがモニタリングのために登録した IP アドレスを指定する。
--witness-client-computer-name=REGEX
これは、登録中にクライアントが指定したコンピュータ名を 指定する。 これは単にクライアント自身が選択した文字列であることに 注意。
更新を全ての登録に適用する必要がある場合は、以下のように明示的に指定する 必要がある:
--witness-apply-to-all
これは全ての登録を選択する。 注意:これは上記のオプションと相互排他的である。
注意: これは空でない共有名で登録の時にのみ適用される!
CLIENT_MOVE 通知の内容には 以下のオプションで(正確に一つ)で指定された IP アドレスが含まれている:
--witness-new-node=NODEID
NODEID を指定することで、指定されたノード上で現在 すべての有効な IP アドレスが応答中に含まれる。 NODEID として '-1' を指定すると、クラスタの全ての IP アドレスが応答中に含まれる。
--witness-new-ip=IPADDRESS
ある IPADDRESS のみを指定することで、指定された IP アドレスが 応答中に含まれる。
witness 登録の登録削除を強制的的に実行。
注意: clustering=yes の時にのみサポート!
機械可読な出力は以下のオプションで生成できる:
--json
登録の選択は以下のオプションで制限できる
--witness-registration=REGISTRATION_UUID
これは、データベース検索を実行する代わりに REGISTRATION_UUID を直接検索する。
以下のオプションはすべて POSIX 拡張正規表現が使え、 登録の選択をさらにフィルタすることができる。 これらのオプションは論理和として適用されるが、各 REGEX は パイプ記号を使うことで複数の文字列を指定できる。
--witness-net-name=REGEX
これはモニタリングのためにクライアントが登録した 「サーバ名」を指定する。
--witness-share-name=REGEX
これはモニタリングのためにクライアントが登録した 「共有名」を指定する。 共有名は登録時にはオプションであることに注意。 それ以外の場合は、空の文字列が一致する。
--witness-ip-address=REGEX
これは、クライアントがモニタリングのために登録した IP アドレスを指定する。
--witness-client-computer-name=REGEX
これは、登録中にクライアントが指定したコンピュータ名を 指定する。 これは単にクライアント自身が選択した文字列であることに 注意。
更新を全ての登録に適用する必要がある場合は、以下のように明示的に指定する 必要がある:
--witness-apply-to-all
これは全ての登録を選択する。 注意:これは上記のオプションと相互排他的である。
選択された登録はサーバから削除され、保留中の AsyncNotify 要求は NOT_FOUND エラーとなる。
通常これはクライアント上のクリーンな再登録を引き起こす。
json 入力に基づいて AsyncNotify 応答を強制 (主にテスト用)
注意: clustering=yes の時にのみサポート!
機械可読な出力は以下のオプションで生成できる:
--json
登録の選択は以下のオプションで制限できる:
--witness-registration=REGISTRATION_UUID
これは、データベース検索を実行する代わりに REGISTRATION_UUID を直接検索する。
以下のオプションはすべて POSIX 拡張正規表現が使え、 登録の選択をさらにフィルタすることができる。 これらのオプションは論理和として適用されるが、各 REGEX は パイプ記号を使うことで複数の文字列を指定できる。
--witness-net-name=REGEX
これはモニタリングのためにクライアントが登録した 「サーバ名」を指定する。
--witness-share-name=REGEX
これはモニタリングのためにクライアントが登録した 「共有名」を指定する。 共有名は登録時にはオプションであることに注意。 それ以外の場合は、空の文字列が一致する。
--witness-ip-address=REGEX
これは、クライアントがモニタリングのために登録した IP アドレスを指定する。
--witness-client-computer-name=REGEX
これは、登録中にクライアントが指定したコンピュータ名を 指定する。 これは単にクライアント自身が選択した文字列であることに 注意。
更新を全ての登録に適用する必要がある場合は、以下のように明示的に指定する 必要がある:
--witness-apply-to-all
これは全ての登録を選択する。 注意:これは上記のオプションと相互排他的である。
これはテストとでバッグのために設計されたものであることに注意!
簡単に言うと、これは管理者が使うものとして設計されたのではなく、 開発者と自動テスト用である。
既定では、空の応答とともに WERR_OK が生成されるが、 基本的には JSON 文字列を指定することにより、任意の有効な応答を 指定することができる:
--witness-forced-response=JSON
これは、非常に複雑な witness_notifyResponse 構造体の生成を出来るようにする。
これは開発者向けなので、JSON 文字列形式のとり得る全ての値を 理解するためにはコードを読んで欲しい。
さらなる詳細は 'net help witness force-response' を参照のこと。
オリジナルの Samba ソフトウェアと関連するユーティリティは、 Andrew Tridgell によって作られた。Samba は現在 Linux カーネルが 開発されているような方法でのオープンソースプロジェクトである Samba Team によって開発された。
net マニュアルページは Jelmer Vernoij によって執筆された。
このマニュアルページは Samba 4.20.1 - 4.20.4 に対応する。
このドキュメントの Samba 3.0.0 対応の翻訳は
たかはし もとのぶ (monyo@samba.gr.jp)
山田 史朗 (shiro@miraclelinux.com)
によって行なわれた。
Samba 3.0.23 - Samba 3.0.24 対応の翻訳は、たかはしもとのぶ (monyo@samba.gr.jp) によって行なわれた。
Samba 3.2.4 - 4.20.4 対応の翻訳は、
太田俊哉 (ribbon@samba.gr.jp)
matsuand(michio_matsuyama@yahoo.co.jp)
によって行なわれた。