名前

samba-tool — Samba 管理のためのメインツール

書式

samba-tool [-h] [-W myworkgroup] [-U user] [-d debuglevel] [--v]

説明

このツールは samba(7) システムの一部である。

オプション

Samba-tool は多数のサブコマンドで構成されており、各サブコマンドには 独自のオプションのセットがある。このセクションにリストされている オプションは、いくつかのサブコマンドに共通である。

-h|--help

ヘルプメッセージを表示して終了する。

-r|--realm=REALM

ドメインのレルムを指定する。

ここでこのパラメータを指定すると、${prefix}/etc/smb.conf ファイル中の realm パラメータを上書きすることに注意。

--simple-bind-dn=DN

シンプルバインドで使う DN。

--password

コマンド行上でパスワードを指定する。

パスワードをスクリプトに含める場合は注意すること。セキュリティを確保する ため、必要に応じてクライアントにパスワードを要求させることを推奨する。

-U|--user=[DOMAIN\]USERNAME[%PASSWORD]

SMB のユーザー名、またはユーザー名とパスワードを指定する。

もしも %password を指定しないと、ユーザーにパスワードの入力を求める。 クライアントはまず初めにUSERLOGNAMEの 順に環境変数の存在を調べ、もしもどちらかが存在するならば、その文字列を 大文字にする。環境変数が存在しない場合、ユーザー名として GUESTが用いられる。

このほかに、平文のユーザー名とパスワードを記述した認証ファイルを使用する 3番目のオプションがある。このオプションは主にスクリプト向けに用意されて おり、認証情報をコマンドラインや環境変数に含めたくない場合に有用である。 このオプションを利用するときは、ファイルのパーミッションを確認し、ほかの ユーザーから参照されないように注意すること。詳細は -Aオプションを参照のこと。

パスワードをスクリプトに含める場合は注意すること。セキュリティを確保する ため、必要に応じてクライアントにパスワードを要求させることを推奨する。

-W|--workgroup=WORKGROUP

ユーザー名の SMB ドメインを指定する。このオプションは、 smb.conf 内のデフォルトのドメイン設定よりも優先される。 ドメイン名としてサーバーの NetBIOS 名を指定すると、クライアントは (ドメインの SAM ではなく) サーバーのローカル SAM を使用して ログオンを試みる。

ここでこのパラメータを指定すると、${prefix}/etc/smb.conf ファイル中の workgroup パラメータを上書きすることに注意。

-N|--no-pass

このオプションを指定すると、クライアントはユーザーへの パスワード入力要求をしなくなる。パスワードが必要ないサービスに アクセスするときに有用である。

コマンドラインにパスワードが指定されておらず、このオプションも指定 されていないと、クライアントはパスワードを要求する。

もしも、パスワードがコマンドライン上で指定され、このオプションも 定義されていた場合、コマンドライン上のパスワードは無視され、 パスワードは使われない。

--use-kerberos=desired|required|off

このパラメータは、Samba クライアントツールが Kerberos を 使って認証を試みるかを決定する。Kerberos 認証では、サービスに 接続する際、IP アドレスではなく、DNS 名を使用する必要がある。 デフォルトでは、Samba クライアントツールはデフォルトの Kerberos 資格情報キャッシュ(ccache)を使用しようとする。 ccache が存在しない場合、または -U|--user オプションが 指定されている場合、クライアントはパスワードの入力を 求められ、Kerberos チケット (kinit) を取得する。

このパラメータをここで指定すると、${prefix}/etc/smb.conf ファイルの client use kerberos パラメータが 上書きされる。

ここでこのパラメータを指定すると、${prefix}/etc/smb.conf ファイル中の client use kerberos パラメータを 上書きすることに注意。

--use-krb5-ccache=CCACHE

Kerberos認証用の資格情報キャッシュの場所を指定する。

これは --use-kerberos=required も同時に強制する。

-A|--authentication-file=filename

このオプションは、指定したファイルから、接続時に使用する ユーザー名とパスワードを読み込むために使用する。 ファイルの形式は次の通り: 

                                username = <value>
                                password = <value>
                                domain   = <value>

ファイルのパーミッションを確認し、他のユーザーから参照されない ように注意すること。

-H URL, --URL=URL

データベースまたはターゲットサーバの LDB URL。

URL は、単純なファイルパスでも、ここにリストされている スキームのいずれかを使用してもかまわない。単純なパスを使用 すると、'tdb://' が使用されたかのように扱われる。

tdb://PATH

PATH は TDB データベースの位置である。

mdb://PATH

PATH は LMBD データベースの位置である。

ldb://PATH

PATH は LMDB または TDB フォーマットのどちらかである、 LDB データベースの位置である。フォーマットは、 1つが 成功するか、すべてが失敗するまで、次々に試行される。 ファイルのフォーマットがわからない場合は、これを使用 しても安全である。

ldap://HOSTNAME, ldaps://HOSTNAME

LDB バックエンドは、指定された ldap サーバである。ldaps:// は、接続を TLS でラップする。

ldapi://SOCKET

バックエンドサーバは、Unix ドメインソケットを使用する ローカル LDAP サーバである。

--color=always|never|auto

有効であれば色を使う (既定値: auto)

--ipaddress=IPADDRESS

サーバーの IP アドレス。

-s FILE, --configfile=FILE

ここで指定する smb.conf 設定ファイルを使用する。

--color=always|never|auto

samba-tool が、その出力に、ANSI カラーコードを使うか否かを 表示する。'auto' (既定値)だった場合、 samba-tool は その出力が直接端末に送られる時には、NO_COLOR 環境変数が 設定されていて、それが空白でない限り、色を使用する。

'yes' と 'force' と言う値は 'always' の別名として受け付け られる。また、'no' と 'none' は 'never' の別名であり、'tty' と 'if-tty' は 'auto' の別名である。

色を使うことを指定しても、samba-tool がとてもカラフルになるとは 限らないことに注意。多くのコマンドは、(実行が)成功した場合、 ほとんど白黒である。

-V, --version

バージョン番号を表示して終了する。

-d|--debuglevel=level

level は0から10までの整数値である。 このパラメータが設定されていない場合の規定の値は、 クライアントアプリケーションに対しては、1 である。

この値を大きくするほど、サーバーの動作に関するより詳細な情報が ログファイルに記録される。レベル 0 では、致命的なエラーと重大な警告 のみが記録される。レベル 1 は日々の運用に適しており、少量の稼働状況 に関する情報を生成する。

1 より上のレベルは大量のログが生成されるので、問題解決の時にのみ 使用すべきである。 3 より上のレベルは開発者だけが利用するように設計されて おり、莫大な量のログデータが生成される。そのほとんどは非常に謎めいた内容 となっている。

このパラメーターの指定は、${prefix}/etc/smb.conf ファイル中の、 log level パラメーターの 指定よりも優先する事に注意。

--debug-stdout

このパラメータはデバッグ出力を STDOUT にリダイレクトする。既定では、 すべてのクライアントはログを STDERR に出力する。

コマンド

computer

コンピュータアカウントの管理。

computer add computername [options]

Active Directory ドメイン中に新しいコンピュータを追加する。

コマンドで指定された新しいコンピュータ名は sAMAccountName で、 末尾にドル記号がある場合も無い場合もある。

--computerou=COMPUTEROU

新しいコンピュータオブジェクトが作成されるときの、既定値の CN=Computers に対する 代替ロケーションの DN (domainDN のコンピュータ部分がある場合も無い場合もある) 。 たとえば 'OU=OUname'.

--description=DESCRIPTION

新しいコンピュータの説明。

--ip-address=IP_ADDRESS_LIST

コンピュータの A レコードに割り当てる IPv4 アドレスか AAAA レコードに割り当てる IPv6 アドレス で、複数回指定できる。

--service-principal-name=SERVICE_PRINCIPAL_NAME_LIST

コンピュータのサービスプリンシパル名で、複数回指定できる。

--prepare-oldjoin

oldjoin メカニズムに対して、有効化したマシンアカウントを準備する。

computer create computername [options]

新しいコンピュータを追加する。これは samba-tool computer add コマンドの別名であり、互換のためのみで 提供されている。かわりに samba-tool computer add を使用して欲しい。

computer delete computername [options]

存在しているコンピュータアカウントを削除する。

コマンドで指定されたコンピュータ名は sAMAccountName で、ドル記号がついている場合も無い場合もある。

computer edit computername

コンピュータの AD オブジェクトを編集する。

コマンドで指定されたコンピュータ名は sAMAccountName であり、 末尾にはドル記号が付く場合と付かない場合がある。.

--editor=EDITOR

システムの既定値の代わりにエディタを指定するか、システムの既定値が設定されていない 場合は 'vi' を使う。

computer list

コンピュータの一覧を表示する。

computer move computername new_parent_dn [options]

このコマンドは、コンピュータアカウントを指定された organizational unit または container に移動する。

コマンドで指定されたコンピュータ名は sAMAccountName で、ドル記号がついている場合も無い場合もある。

organizational unit 又は container の名前は、 完全な DN 又は without the domainDN コンポーネントなしで指定することが出来る。

computer show computername [options]

コンピュータの AD オブジェクトを表示する。

コマンドで指定されたコンピュータ名は sAMAccountName で、ドル記号がついている場合も無い場合もある。

--attributes=USER_ATTRS

CSV形式の、表示可能な形式による、属性の一覧。

contact

contact の管理

contact add [contactname] [options]

Active Directory ドメイン内で新しい contact を追加する。

新しい contact の新しい名前は最初の引数 'contactname' か、 --given-name 、 --initial 、 --surname 引数で指定できる。 'contactname' が指定されなかった場合、contact の名前は given-name、initials と surname を合成することによって作成される。各引数の指定は任意である。ピリオド ('.') は initials に自動的に追加される。

--ou=OU

新しく作成された contact の alternative location のDN(domainDN counterpartの有無にかかわらず)。 例 'OU=OUname'. 既定値はドメインベース。

--description=DESCRIPTION

新しい contact の説明。

--surname=SURNAME

contact の surname。

--given-name=GIVEN_NAME

contact のgiven name。

--initials=INITIALS

contact の initials。

--display-name=DISPLAY_NAME

contact の display name。

--job-title=JOB_TITLE

contact の job title。

--department=DEPARTMENT

contact の department。

--company=COMPANY

contact の company。

--mail-address=MAIL_ADDRESS

contact の メールアドレス。

--internet-address=INTERNET_ADDRESS

contact のホームページ。

--telephone-number=TELEPHONE_NUMBER

contact の電話番号。

--mobile-number=MOBILE_NUMBER

contact の 携帯電話番号。

--physical-delivery-office=PHYSICAL_DELIVERY_OFFICE

contact のオフィス住所。

contact create [contactname] [options]

新しい contact を追加する。これは samba-tool contact add コマンドの別名であり、互換のためのみで 用意されている。代わりに samba-tool contact add を使って欲しい。

contact delete contactname [options]

既存の contact を削除する。

コマンドで指定した contactname は common name か contact オブジェクトの distinguished name である。contact の distinguished name における domainDN コンポーネント指定の有無は任意である。

contact edit contactname

contact AD オブジェクトを修正する。

コマンドで指定した contactname は common name か contact オブジェクトの distinguished name である。contact の distinguished name における domainDN コンポーネント指定の有無は任意である。

--editor=EDITOR

システムの既定値の代わりにエディタを指定するか、システムの既定値が設定されていない 場合は 'vi' を使う。

contact list [options]

contact 一覧を表示する。

--full-dn

名前の代わりに contact の完全な DN を表示する。

contact move contactname new_parent_dn [options]

このコマンドは、 contact を指定された organizational unit またはコンテナに移動する。

コマンドで指定した contactname は common name か contact オブジェクトの distinguished name である。contact の distinguished name における domainDN コンポーネント指定の有無は任意である。

contact show contactname [options]

contact の AD オブジェクトを表示する。

コマンドで指定した contactname は common name か contact オブジェクトの distinguished name である。contact の distinguished name における domainDN コンポーネント指定の有無は任意である。

--attributes=CONTACT_ATTRS

コンマで分けられた印刷可能な属性の一覧ある。

contact rename contactname [options]

contact と関連する属性を改名する。

このコマンドは、contact の名前に関連する属性を設定することを許可する。contact の CN は自動的に改名される。 contact の新しい CN は、given-name、イニシャル、と surname を結合することにより 作成される。ドット ('.') は、必要であれば、イニシャルに自動的に追加される。 新しい CN を手動で指定するときには --force-new-cn を、 この変更をリセットするときには --reset-cn オプションを使用する。

指定された属性を削除するには、空の属性値を使用する。

コマンド上では contact 名は CN で指定する。

--surname=SURNAME

新しい surname。

--given-name=GIVEN_NAME

新しい given name。

--initials=INITIALS

新しい initials。

--force-new-cn=NEW_CN

given name, initials と surname の組み合わせを使う代わりに、 新しい CN (RDN) を指定する。

--reset-cn

given name, initials と surname の既定の組み合わせで CN を設定する。

--display-name=DISPLAY_NAME

新しい display name

--mail-address=MAIL_ADDRESS

新しい email address。

dbcheck

ローカルの AD データベースでエラーを検査する。

delegation

委任(delegation)を管理する。

delegation add-principal accountname principal [options]

アカウントに委任する可能性のあるプリンシパルを msDS-AllowedToActOnBehalfOfOtherIdentity に追加する。

delegation del-principal accountname principal [options]

msDS-AllowedToActOnBehalfOfOtherIdentity からプリンシパルを削除 して、アカウントに委任できないようにする。

delegation add-service accountname principal [options]

msDS-AllowedToDelegateTo としてサービスプリンシパルを追加する。

delegation del-service accountname principal [options]

msDS-AllowedToDelegateTo としてサービスプリンシパルを削除する。

delegation for-any-protocol accountname [(on|off)] [options]

アカウントに対して UF_TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION (S4U2Proxy) を設定/解除する。

delegation for-any-service accountname [(on|off)] [options]

アカウントに対して UF_TRUSTED_FOR_DELEGATION を設定/解除する。

delegation show accountname [options]

アカウントの委任設定を表示する。

dns

ドメインネームシステム(DNS)を管理する。

dns add server zone name A|AAAA|PTR|CNAME|NS|MX|SRV|TXT data

DNS レコードを追加する。

--allow-existing

この名前とタイプの既存のレコードをエラーとして 扱わないようにする。機能的な変更はない(新しい DNS レコードは 追加されない) が、メッセージと samba-tool のリターンコードは エラーを示さない。

dns cleanup server name

ホストの DNS レコードをクリーンアップして、DNS クエリが 結果を返さないようにする。通常、これはデータベース内でレコードを 削除済みとしてマークすることで機能する。

例: samba-tool dns cleanup dc1 computer.samdom.test.site

dns delete server zone name A|AAAA|PTR|CNAME|NS|MX|SRV|TXT data

DNS レコードを削除する。

dns query server zone name A|AAAA|PTR|CNAME|NS|MX|SRV|TXT|ALL [options] data

名前を問い合わせる。

dns roothints server [name] [options]

ルートヒント(root hint)を問い合わせる。

dns serverinfo server [options]

サーバー情報を問い合わせる。

dns update server zone name A|AAAA|PTR|CNAME|NS|MX|SRV|TXT olddata newdata

DNS レコードを更新する。

dns zonecreate server zone [options]

DNS ゾーンを作成する。

dns zonedelete server zone [options]

DNS ゾーンを削除する。

dns zoneinfo server zone [options]

DNS ゾーン情報を問い合わせる。

dns zonelist server [options]

DNS ゾーンを一覧表示する。

dns zoneoptions server zone [options]

エージングオプションを操作する。これは、動的 DNS を使用するゾーンで役立つ。

正規表現または経過時間に基づいてレコードを静的から動的に 変更するオプションがある。これは、古いバージョンの Samba で値が 混同された場合に役立つ。

-n, --dry-run

実際には何も変更せず、 何が起こるかを示す。

--client-version=w2k|dotnet|longhorn

Windowsクライアントのプロトコル・ バージョン。デフォルトはlonghorn で、おそらくこれが必要。

--mark-old-records-static=YYYY-MM-DD

指定された日付より古いレコードを 静的としてマークする。

--mark-records-static-regex=REGEXP

指定された perl 互換の正規表現に 一致するレコードを静的としてマークする。

--mark-records-dynamic-regex=REGEXP

指定された perl 互換の正規表現に 一致するレコードを動的としてマークする。

--aging=0|1

--aging=1 はこのゾーンでエージングを有効にする。

--aging=0 はこのゾーンでエージングを無効にする。

--norefreshinterval=HOURS

動的更新の後、これ以上の更新を 行わないようにする。デフォルトを使用するには、 0に設定する。

--refreshinterval=HOURS

時間単位の動的リフレッシュ間隔(0:デフォルトを使用)

domain

ドメインを管理する。

domain backup

ドメインのバックアップを作成/リストアする。

domain backup offline

(適切なロックを行って) ローカルドメインディレクトリを tar ファイルにバックアップする。

domain backup online

現在動作中の DC の、現在の DB を、バックアップ tar ファイルにコピーする。

domain backup rename

現在動作中の DC の DB をバックアップファイルにコピーし、プロセスのドメイン名を変更する。

domain backup restore

ドメイン DB をバックアップファイルからリストアする。

domain auth policy

認証ポリシを管理する。

domain auth policy list

ドメイン上の認証ポリシを一覧表示する。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--json

一覧の代わりに認証ポリシを一覧で表示する。

domain auth policy view

ドメイン上の認証ポリシを表示する。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

表示すべき認証ポリシの名前(必須)。

domain auth policy create

ドメイン上の認証ポリシを作成する。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

認証ポリシの名前(必須)。

--description

認証ポリシに対するオプションの説明。

--protect

誤操作による削除から認証ポリシを保護する。

--unprotect と共には使えない。

--unprotect

誤操作による削除から認証ポリシを保護しない。

--protect と共には使えない。

--audit

監査認証ポリシーのみ。

--enforce と共には使えない。

--enforce

認証ポリシを強制。

--audit と共には使えない。

--strong-ntlm-policy

強力な NTLM ポリシ (無効、オプション、必須)。

--user-tgt-lifetime-mins

ユーザアカウントの Ticket-Granting-Ticket 生存時間。

--user-allow-ntlm-auth

allowed-to-authenticate-from が使用されているにもかかわらず、 NTLM対話型の NETLOGON SamLogon認証を行う。 これを行わないと、ユーザーは選択されたデバイスに制限される。

--user-allowed-to-authenticate-from

このポリシーの対象となるユーザが認証を許可される ためにデバイスが満たす必要がある条件。これは デバイスに対する制限だが、条件付き ACEルールは、 デバイスがユーザであるかのように表現される。

Deviceキーワードを参照しない有効なSDDL 文字列でなければならない。

例: O:SYG:SYD:(XA;OICI;CR;;;WD;(Member_of {SID(AU)}))

--user-allowed-to-authenticate-to=SDDL

このポリシーは、サービスを提供するユーザ アカウント(ユーザアカウントを持つ Web サーバなど)に適用され、そのサービスに アクセスできるアカウントを制限する。

有効な SDDL 文字列でなければならない。 SDDL はベア(ユーザ)とデバイス条件両方を 参照することができる。

SDDL の例: O:SYG:SYD:(XA;OICI;CR;;;WD;(Member_of {SID(AO)}))

--service-tgt-lifetime-mins

サービスアカウント用の Ticket-Granting-Ticket 生存時間。.

--service-allow-ntlm-auth

サービスが選択したデバイスに制限されている場合、 NTLM ネットワーク認証を許可する。

--service-allowed-to-authenticate-from

このポリシーの対象となるサービスアカウ ントが認証を許可されるためにデバイスが 満たす必要がある条件。これは デバイスに対する制限だが、条件付き ACE ルールは、 デバイスがユーザであるかのように表現される。

Device キーワードを参照しない有効な SDDL 文字列でなければならない。

SDDL の例: O:SYG:SYD:(XA;OICI;CR;;;WD;(Member_of {SID(AU)}))

--service-allowed-to-authenticate-to=SDDL

このポリシーは、サービスアカウント (管理対象サービスアカウント、グループ管理対象 サービスアカウントなど)に適用され、その アカウントにアクセスできるアカウントを制限する。

有効な SDDL 文字列でなければならない。 SDDL はベア(ユーザ)とデバイス条件両方を 参照することができる。

SDDL の例: O:SYG:SYD:(XA;OICI;CR;;;WD;(Member_of {SID(AO)}))

--computer-tgt-lifetime-mins

コンピュータアカウントの Ticket-Granting-Ticket 生存時間。

--computer-allowed-to-authenticate-to=SDDL

このポリシーは、コンピュータアカウント (たとえば server または workstation)に 適用され、そのアカウントにアクセス できるアカウントを制限する。

有効な SDDL 文字列でなければならない。 SDDL はベア(ユーザ)とデバイス条件両方を 参照することができる。

SDDL の例: O:SYG:SYD:(XA;OICI;CR;;;WD;(Member_of {SID(AO)}))

domain auth policy modify

ドメイン上の認証ポリシを変更する。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

認証ポリシの名前(必須)。

--description

認証ポリシに対するオプションの説明。

--protect

誤操作による削除から認証ポリシを保護する。

--unprotect と共には使えない。

--unprotect

誤操作による削除から認証ポリシを保護しない。

--protect と共には使えない。

--audit

監査認証ポリシーのみ。

--enforce と共には使えない。

--enforce

認証ポリシを強制。

--audit と共には使えない。

--strong-ntlm-policy

強力な NTLM ポリシ (無効、オプション、必須)。

--user-tgt-lifetime

ユーザアカウントの Ticket-Granting-Ticket 生存時間。

--user-allow-ntlm-auth

ユーザーが選択したデバイスに制限されている場合、 NTLM ネットワーク認証を許可する。

--service-tgt-lifetime

サービスアカウントの Ticket-Granting-Ticket 生存時間。

--service-allow-ntlm-auth

サービスが選択したデバイスに制限されている場合、 NTLMネットワーク認証を許可する。

--computer-tgt-lifetime

コンピュータアカウントの Ticket-Granting-Ticket 生存時間。

domain auth policy delete

ドメイン上の認証ポリシを削除する。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

認証ポリシの名前(必須)。

--force

保護されていたとしても強制的に認証ポリシを削除する。

domain auth policy user-allowed-to-authenticate-from set

シナリオによって user-allowed-to-authenticate-from プロパティを設定する。

-H, --URL

データベースまたはターゲットサーバへの LDB URL。

--name

認証ポリシーの名前。

--by-group=GROUP

認証元のデバイスが指定された GROUPのメンバーシップに 割り当てられ、許可されている場合、ユーザ は認証が許可される。

--silo=SILO

認証元のデバイスが指定された SILOのメンバーシップに 割り当てられ、許可されている場合、ユーザは 認証を許可される。

domain auth policy user-allowed-to-authenticate-to set

シナリオによって user-allowed-to-authenticate-to プロパティを設定する。

-H, --URL

データベースまたはターゲットサーバへのLDB URL。

--name

認証ポリシーの名前。

--group=GROUP

このポリシーの対象となるネットワーク サービスを提供するユーザーアカウントは、 指定されたGROUPの メンバーである他のアカウントからの アクセスのみが許可される。

--silo=SILO

このポリシーの対象となるネットワーク サービスを提供するユーザーアカウントは、 指定されたSILOに 割り当てられ、そのメンバーシップを付与された (およびその認証条件を満たす)他のアカウント からのアクセスのみが許可される。

domain auth policy service-allowed-to-authenticate-from set

シナリオによって service-allowed-to-authenticate-from プロパティを設定する。

-H, --URL

データベースまたはターゲットサーバへの LDB URL。

--name

認証ポリシーの名前。

--group=GROUP

サービスアカウント(例えば、 マネージドサービスアカウント、グループ マネージドサービスアカウント)は、認証元の デバイスが指定されたGROUPの メンバーである場合、認証を許可される。

--silo=SILO

サービスアカウント(例えば、 マネージドサービスアカウント、グループ マネージドサービスアカウントなど)は、認証元の デバイスが特定のSILOの メンバーシップに割り当てられ、付与されている 場合に、認証を許可される。

domain auth policy service-allowed-to-authenticate-to set

シナリオによって service-allowed-to-authenticate-to プロパティを設定する。

-H, --URL

データベースまたはターゲットサーバへの LDB URL。

--name

認証ポリシーの名前。

--group=GROUP

サービスアカウント(例えば、 マネージドサービスアカウント、グループ マネージドサービスアカウント)は、指定された GROUPのメンバーである 他のアカウントによってのみアクセスが許可される。

--silo=SILO

サービスアカウント(例えば、 マネージドサービスアカウント、グループ マネージドサービスアカウント)は、指定された SILOに割り当てられ、 メンバーシップを付与された(および認証条件を満たす) 他のアカウントによってのみアクセスが許可される。

domain auth policy computer-allowed-to-authenticate-to set

シナリオによって computer-allowed-to-authenticate-to プロパティを設定する。

-H, --URL

データベースまたはターゲットサーバへの LDB URL。

--name

認証ポリシーの名前。

--group=GROUP

コンピュータアカウント(たとえば server または workstation)は、指定された GROUPのメンバである 他のアカウントによるアクセスのみが許可される。

--silo=SILO

コンピュータアカウント(たとえば server または workstation)は、指定された SILO に割り当てられ、 そのメンバーシップを付与された(そしてその認証条件を 満たす)他のアカウントによってのみアクセスが許可される。

domain auth silo

認証サイロの管理。

domain auth silo list

ドメイン上の認証サイロ を一覧表示する。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--json

一覧表示の代わりに JSON で認証サイロを表示する。

domain auth silo view

ドメイン上の認証サイロを表示する。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

表示すべき認証サイロの名前(必須)。

domain auth silo create

ドメン上の認証サイロを作成する。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

認証サイロの名前(必須)。

--description

認証サイロに対するオプションの説明。

--user-authentication-policy

ユーザアカウント認証ポリシ。

--service-authentication-policy

管理されたサーアビスアカウント認証ポリシ。

--computer-authentication-policy

コンピュータアカウント認証ポリシ。

--protect

誤操作による削除から認証サイロを保護する。

--unprotect と共には使えない。

--unprotect

誤操作による削除から認証サイロを保護しない。

--protect と共には使えない。

--audit

監査サイロポリシーのみ。

--enforce と共には使えない。

--enforce

サイロポリシを強制。

--audit と共には使えない。

domain auth silo modify

このドメイン上の認証サイロを修正する。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

認証サイロの名前(必須)。

--description

認証サイロに対するオプションの説明。

--user-authentication-policy

ユーザアカウント認証ポリシ。

--service-authentication-policy

管理されたサービスアカウント認証ポリシ。

--computer-authentication-policy

コンピュータアカウント認証ポリシ。

--protect

誤操作による削除から認証サイロを保護する。

--unprotect と共には使えない。

--unprotect

誤操作による削除から認証サイロを保護しない。

--protect と共には使えない。

--audit

監査サイロポリシーのみ。

--enforce と共には使えない。

--enforce

サイロポリシーを強制。

--audit と共には使えない。

domain auth silo delete

このドメイン上の認証サイロを削除。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

削除する認証サイロの名前(必須)。

--force

保護されていたとしても強制的に認証サイロを削除。

domain auth silo member grant

認証サイロにメンバアクセスを許可。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

認証サイロの名前(必須)。

--member

このサイロにアクセスを許可するメンバ(DN 又はアカウント名)。

domain auth silo member list

認証サイロ中のメンバの一覧表示。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

認証サイロの名前(必須)。

--json

一覧表示の代わりにメンバを JSON で表示。

domain auth silo member revoke

認証サイロからメンバを取り消し。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

認証サイロの名前(必須)。

--member

サイロから取り消すメンバ(DN 又はアカウント名)。

domain claim claim-type list

ドメイン上のクレームタイプの一覧表示。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--json

一覧表示の代わりにクレームタイプを JSON でメンバを表示。

domain claim claim-type view

ドメイン上の単一のクレームタイプを表示。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

表示するクレームタイプの名前(必須)。

domain claim claim-type create

このドメイン上のクレームタイプを作成。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--attribute

作成するクレームタイプの属性(必須)。

--class

クレームタイプを設定するオブジェクトクラス。

例: --class=user --class=computer

--name

オプションの表示名又は属性名を使用。

--description

オプションの説明又は from 属性を使用。

--enable

クレームタイプを有効にする。

--disable と共には使えない。

--disable

クレームタイプを無効にする。

--enable と共には使えない。

--protect

誤操作による削除からクレームタイプを保護する。

--unprotect と共には使えない。

--unprotect

誤操作による削除からクレームタイプを保護しない。

--protect と共には使えない。

domain claim claim-type modify

ドメイン上のクレームタイプを変更する。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

変更するクレームタイプの属性(必須)。

--class

クレームタイプを設定するオブジェクトクラス。

例: --class=user --class=computer

--description

クレームタイプの説明を設定。

--enable

クレームタイプを有効にする。

--disable と共には使えない。

--disable

クレームタイプを無効にする。

--enable と共には使えない。

--protect

誤操作による削除からクレームタイプを保護する。

--unprotect と共には使えない。

--unprotect

誤操作による削除からクレームタイプを保護しない。

--protect と共には使えない。

domain claim claim-type delete

ドメイン上のクレームタイプを削除

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

削除するクレームタイプの名前(必須)。

--force

保護されていたとしても強制的にクレームタイプを削除。

domain claim value-type list

ドメイン上のクレームバリュータイプを一覧表示する。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--json

一覧の代わりに JSON でクレームバリュータイプを表示。

domain claim value-type view

ドメイン上の単一のクレームバリュータイプを表示する。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

表示するクレームバリュータイプの表示名(必須)。

domain classicupgrade [options] classic_smb_conf

Samba クラシック(NT 4風)データベースから Samba AD DC データベースにアップグレードする。

domain dcpromo dnsdomain [DC|RODC] [options]

既存のドメインメンバーまたはNT4 PDCをAD DCに昇格する。

domain demote

ドメインコントローラの役割から自分自身を降格する。

domain exportkeytab keytab [options]

ドメインの Kerberos キーを keytab にダンプする。

domain functionalprep [options]

機能レベルをアップグレードするためにドメインを準備する。 --functional-level を使用しない場合は、 サポートされている最新バージョン(現在は2016)が使用される。

この準備には、フォレストとドメインに関連する2つの側面がある。 デフォルトでは、両方が実行される。--forest-prep または --domain-prep のいずれかを使用すると、 対応する準備のみが行われる。両方の引数を一緒に使用すると、どちらも 使用しない場合と同様に、すべての準備が行われる。

-H, --URL

データベースまたはターゲットサーバへの LDB URL。

--functional-level [2008_R2|2012|2012_R2|2016]

準備する機能レベル。デフォルトは2016。

--forest-prep

フォレストの準備のみを実行する(--domain-prepも使用しない場合)。

--domain-prep

ドメインの準備のみを実行する(--forest-prepも使用しない場合)。

domain info ip_address [options]

ドメインと指定された DC についての基本情報を表示

domain join dnsdomain [DC|RODC|MEMBER|SUBDOMAIN] [options]

メンバーまたはバックアップドメインコントローラのどちらかとしてドメインに参加。

domain kds root-key

キー分散サービス root キーの管理。

domain kds root-key create [options]

KDS ルートキーの作成

-H, --URL

データベース又はターゲットサーバへの LDB URL。

--use-start-time=["now"|iso8601 or LDIF time string]

指定された時間からキーが 有効になる。

有効な時間指定方法は 文字列 "now"、 LDIF 形式 YYYYmmddHHMMSS.0Z、あるいは ISO 形式 YYYY-mm-dd[*HH[:MM[:SS[.fff[fff]]]][+HH:MM[:SS[.ffffff]]]] で、'*' は任意の文字で、オプションの最後の '[+HH:MM[:SS[.ffffff]]]' はタイムゾーンオフセット (たとえば UTC なら '+00:00') である。

--json

JSON 形式で結果を出力する。

domain kds root-key delete --name={GUID}

指定された KDS ルートキーを削除する。 samba-tool domain kds root-key list を使用して キーの名前を検索すること。

-H, --URL

データベースまたはターゲットサーバへの LDB URL。

--name=NAME

削除するキーの名前。GUID でなければならない。

-v, --verbose

すべての属性を表示(--show secrets が使用 されていない限り、シークレットのものは対象外)。

--json

JSON 形式で結果を出力。

domain kds root-key list [options]

KDS ルートキーの一覧表示。最新のキーが最初に表示される。

-H, --URL

データベースまたはターゲットサーバへの LDB URL。

--show-secrets

秘密または潜在的に機密性の高い属性、すなわち msKds-RootKeyData および msKds-SecretAgreementParam を出力する。

-v, --verbose

より多くの属性を表示(--show secrets が使用 されていない限り、シークレットのものは対象外)。

--json

JSON 形式で結果を出力。

domain kds root-key view [options]

KDSルートキーを表示する。デフォルトの出力は samba-tool domain kds root-key list --verboseと 似ているが、キーは1つしか表示されない。キーを選択するには、 --latest を使用して最新のキーを選択するか、 --name を使用して名前でキーを選択する。

-H, --URL

データベースまたはターゲットサーバへの LDB URL。

--latest

最新の root キーを表示。

--name=NAME

表示するキーの名前。GUID でなければならない。

-v, --verbose

すべての属性を表示(--show secrets が使用 されていない限り、シークレットのものは対象外)。 これは、LDB bookkeeping にのみ便利な属性を含む。

--json

JSON 形式で結果を出力する。

domain leave [options]

ドメインメンバー上で実行すると、ドメインから離脱する。

ドメインからドメインサーバーを削除するには、まず samba-tool domain demoteが必要である。

--keep-account

マシンアカウントを削除するのではなく、無効にする。

domain level show|raise options [options]

ドメインとフォレストレベルの表示/昇格を行う。

domain passwordsettings set options [options]

Samba AD DC サーバーで、複雑さの要件、ロックアウトポリシー、履歴 の長さ、最小パスワード長、最小および最大パスワード経過時間などのパスワー ド設定を行う。

Windows DC に対して使用することは可能だが、グループポリシーに よって上書きされる。

-H URL, --URL=URL

データベースまたはターゲットサーバへの LDB URL。

-q, --quiet

表示を抑制

--complexity=COMPLEXITY

パスワードの複雑さの設定(on | off | default). 既定値は 'on'

--store-plaintext=STORE_PLAINTEXT

アカウントの 'store passwords with reversible encryption' 設定によって 平文でパスワードを格納 (on | off | default)。既定値は 'off'

--history-length=HISTORY_LENGTH

パスワード履歴長 (integer | default)。 既定値は 24。

--min-pwd-length=MIN_PWD_LENGTH

最小パスワード長 (integer | default)。 既定値は 7。

--min-pwd-age=MIN_PWD_AGE

最小パスワード保持期間(日数 | default)。既定値は 1。

--max-pwd-age=MAX_PWD_AGE

最大パスワード保持期間(日数 | default)。 既定値は 43。

--account-lockout-duration=ACCOUNT_LOCKOUT_DURATION

間違ったパスワード試行を超えたときにアカウントを ロックする時間。( | default)。 既定値は 30分。

--account-lockout-threshold=ACCOUNT_LOCKOUT_THRESHOLD

アカウントをロックする前に許される不正なパスワード 試行回数(回数 | default)。 既定値は 0 (ロックアウトしない)。

--reset-account-lockout-after=RESET_ACCOUNT_LOCKOUT_AFTER

指定された時間後、記録されている試行回数が0になる (integer | default)。既定値は 30。

domain passwordsettings show options [options]

ドメインの現在のパスワード設定を表示する。

-H URL, --URL=URL

データベースまたはターゲットサーバへの LDB URL

domain passwordsettings pso

Manage fine-grained Password 設定オブジェクト (PSOs) を管理する。

domain passwordsettings pso apply pso-name user-or-group-name [options]

ユーザまたはグループに対して、Applies a PSO のパスワードポリシーを適用する。

domain passwordsettings pso create pso-name precedence [options]

新しい Password 設定オブジェクト (PSO) を作成する。

domain passwordsettings pso delete pso-name [options]

Password 設定オブジェクト (PSO) を削除する。

domain passwordsettings pso list [options]

すべての Password 設定オブジェクト (PSOs) を表示する。

domain passwordsettings pso set pso-name [options]

Password 設定オブジェクト (PSO) を変更する。

domain passwordsettings pso show user-name [options]

Password 設定オブジェクト (PSO) を表示する。

domain passwordsettings pso show-user pso-name [options]

ユーザに適用されている Password 設定を表示する。

domain passwordsettings pso unapply pso-name user-or-group-name [options]

ユーザ又はグループに対して適用されなくなった PSO を更新する。

domain provision

既存のドメインメンバーまたは NT4 PDC を AD DC に昇格(promote)する。

domain schemaupgrade [options]

スキーマをアップグレードする。

-H, --URL

データベースまたはターゲットサーバへの LDB URL。

--schema [2012|2012_R2|2016|2019]

この Windows スキーマレベルにアップグレードする。既定値は 2019。

--ldf-file

標準スキーマ・レベルに更新するのでは なく、この LDIF ファイルにスキーマの変更を適用する。

--base-dir

スキーマ LDIF ファイルを検索するための代替位置を指定する。

domain tombstones expunge NC [NC [...]] [options]

-H URL, --URL=URL

データベースまたはターゲットサーバへの LDB URL

--current-time=YYYY-MM-DD

tombstone lifetime からを評価する現在の時刻(YYYY-MM-DD)

--tombstone-lifetime=DAYS

tombstone が保存されるべき日数

domain trust

ドメインおよびフォレストの信頼管理を行う。

domain trust create DOMAIN options [options]

ドメインまたはフォレストの信頼関係を作成する。

domain trust modify DOMAIN options [options]

ドメインまたはフォレストの信頼関係を変更する。

domain trust delete DOMAIN options [options]

ドメインの信頼関係を削除する。

domain trust list options [options]

ドメイン信頼関係の一覧を表示する。

domain trust namespaces [DOMAIN] options [options]

フォレスト信頼関係名前空間を管理する。

domain trust show DOMAIN options [options]

信頼されているドメインの詳細情報を表示する。

domain trust validate DOMAIN options [options]

ドメイン信頼関係を検査する。

drs

ディレクトリ複製サービス(Directory Replication Services; DRS)を管理する。

drs bind

サーバーの DRS 性能を表示する。

drs clone-dc-database dnsdomain --targetdir=DIR [options]

ドメインの最初のクローンをレプリケートするが、JOIN しない。

--server=DC

この DC をクローンする。

--targetdir=TARGETDIR

プロビジョンを格納する場所(必須)。

-q, --quiet

非表示モード

--include-secrets

シークレット値もレプリケート。

--backend-store=BACKENDSTORE

使用するバックエンドデータベースを指定 (既定値は tdb)。

--backend-store-size=SIZE

バックエンドデータベースのサイズを指定するが、 現在の所 lmdb バックエンドのみサポート(既定値は 8GB)。

drs uptodateness [options]

Show uptodateness status.

-H URL, --URL=URL

データベースまたはターゲットサーバへの LDB URL

-p PARTITION, --partition=PARTITION

このパーティションのみに制限

--json

JSON 形式でデータを表示

--maximum

最大 out-of-date-ness のみを表示

--median

median out-of-date-ness のみを表示

--full

すべての out-of-date-ness データを表示

drs kcc

knowledge consistency checker(kcc)を起動する。

drs options

ドメインコントローラーの NTDS Settings オブジェクトに対して options を問い合わせまたは変更する。

drs replicate destination_DC source_DC NC [options]

2 つの DC 間で名前付けコンテキスト(naming context)を複製する。

drs showrepl

複製ステータスを表示する。[--json] オプションは、JSON 形式で結果を返し、 [--summary] オプションは、レプリケーションのステータスが問題無い場合には、 非常に小さな出力を生成する。

dsacl

DS ACL を管理する。

dsacl delete

ディレクトリオブジェクト上のアクセスリストエントリを削除する。

dsacl get

ディレクトリオブジェクト上のアクセスリストを表示する。

dsacl set

ディレクトリオブジェクト上のアクセスリストを変更する。.

dsacl set

ディレクトリオブジェクトのアクセスリストを修正する。

forest

フォレストの構成を管理する。

forest directory_service

フォレストの、directory_service の振る舞いを管理する。

forest directory_service dsheuristics VALUE

フォレストの、 dsheuristics directory_service の構成を変更する。

forest directory_service show

フォレストの、現在の directory_service 構成を表示する。

fsmo

Flexible Single Master Operations(FSMO)を管理する。

fsmo seize [options]

ロール(role)を取得する。

fsmo show

ロールを表示する。

fsmo transfer [options]

ロールを移動する。

gpo

グループポリシーオブジェクト(Group Policy Object; GPO)を管理する。

gpo aclcheck [options]

空の GPO を作成する。

すべての GPO が、一致する LDAP と DS ACL を持っているかを検査する。

-H URL, --URL=URL

データベースまたはターゲットサーバへの LDB URL

gpo admxload [options]

sysvol に samba admx ファイルをロード

-H URL, --URL=URL

データベースまたはターゲットサーバへの LDB URL

--admx-dir=ADMX_DIR

admx テンプレートが格納されているディレクトリ

gpo backup gpo[options]

Backup a GPO.

-H H

データベースまたはターゲットサーバへの LDB URL

--tmpdir=TMPDIR

ポリシーファイルをコピーするための一時ディレクトリ

--generalize

リストアするための XML エンティティを生成

--entities=ENT_FILE

リストア用の定義済みの XML エンティティをエクスポートするためのファイル

gpo create displayname [options]

空の GPO を作成する。

gpo cse list

現在のホスト上の、登録済みクライアントサイド拡張 (CSEs) を一覧表示する。

gpo cse register cse_file cse_name [options]

現在のホスト上にクライアントサイド拡張 (CSE) を登録する。

このコマンドは、CSEファイル名を引数として取り、現在のホストにポリシーを 適用するために登録する。これは、現在のバージョンの Samba で配布されて いるCSEには必要ないが、実験用の CSE やカスタムビルドの CSE を インストールする場合に便利である。

cse_file引数は、CSE の永続的な場所でなければ ならない。register コマンドは、ファイルを他のディレクトリにコピーしない。 samba-gpupdate コマンドは、このコマンドで指定された正確な場所から CSEを実行する。

--machine

CSE をマシンポリシーとして登録するかどうか

--user

CSE をユーザー・ポリシーとして登録するかどうか

gpo cse unregister GUID

クライアントサイド拡張 (CSE) を現在のホストから登録解除する。

このコマンドは、一意の GUIDを 引数 (登録済 CSE を表す) として取得し、 現在のホストにポリシーを適用するために登録を解除する。 `samba-tool gpo cse list` コマンドを使用して、CSE の一意の GUID を判別する。

gpo del gpo [options]

GPO を削除する。

gpo dellink container_dn gpo [options]

コンテナーから GPO リンクを削除する。

gpo fetch gpo [options]

GPO をダウンロードする。

gpo getinheritance container_dn [options]

コンテナーの継承フラグ(inheritance flag)を取得する。

gpo getlink container_dn [options]

コンテナーにおける GPO リンクを一覧表示する。

gpo list username [options]

アカウントにおける GPO を一覧表示する。

gpo listall

すべての GPO を一覧表示する。

gpo listcontainers gpo [options]

GPO に対してリンクされたコンテナーを一覧表示する。

gpo load gpo [options]

GPO にポリシーをロード。

--content を介して json 形式のファイルが提供されない限り、 EOF まで標準入力から json を読みこむ。

json_input の例: 

[
    {
        "keyname": "Software\Policies\Mozilla\Firefox\Homepage",
        "valuename": "StartPage",
        "class": "USER",
        "type": "REG_SZ",
        "data": "homepage"
    },
    {
        "keyname": "Software\Policies\Mozilla\Firefox\Homepage",
        "valuename": "URL",
        "class": "USER",
        "type": "REG_SZ",
        "data": "google.com"
    },
    {
        "keyname": "Software\Microsoft\Internet Explorer\Toolbar",
        "valuename": "IEToolbar",
        "class": "USER",
        "type": "REG_BINARY",
        "data": [0]
    },
    {
        "keyname": "Software\Policies\Microsoft\InputPersonalization",
        "valuename": "RestrictImplicitTextCollection",
        "class": "USER",
        "type": "REG_DWORD",
        "data": 1
    }
    ]

有効なクラス属性: MACHINE|USER|BOTH データ配列はバイトとして解釈される。

--machine-ext-name および --user-ext-name オプションは、 GPO の gPCMachineExtensionNames および gPCUserExtensionNames ldap 属性をそれぞれ設定する複数値の入力である。これらの属性は、 Windows グループポリシーが正しく機能するように、正しい GUID 名に 設定する必要がある。これらの GUID は、コンピュータに適用される クライアント側の拡張を表す。Linux グループポリシーはこの制約を 強制しない。{35378EAC-683F-11D2-A89A-00C04FBBCFA2} は既定で 提供され、ほとんどのレジストリポリシーを有効にする。

-H H

データベースまたはターゲットサーバへの LDB URL

--content=CONTENT

ポリシー入力の JSON ファイル

--machine-ext-name=MACHINE_EXTS

gPCMachineExtensionNames に追加するためのマシン拡張名

--user-ext-name=USER_EXTS

gPCUserExtensionNames に追加するためのユーザ拡張名

--replace

既存のグループポリシーを併合するのではなく置き換える

gpo manage security list gpo [options]

sysvol からの Samba セキュリティグループポリシーを一覧表示する。

このコマンドは、winbind クライアントに適用される sysvol の セキュリティ設定を一覧表示する。これらの設定は AD DC にのみ適用される。

例: 

samba-tool gpo manage security list {31B2F340-016D-11D2-945F-00C04FB984F9}

-H URL, --URL=URL

データベースまたはターゲットサーバへの LDB URL

gpo manage security set gpo [options]

Samba セキュリティグループポリシーを sysvol に設定する。

このコマンドは、winbind クライアントに適用するためのセキュリティ 設定を sysvol に設定する。値を指定しないと、ポリシーが設定解除される。 これらの設定は AD DC にのみ適用される。

例: 

samba-tool gpo manage security set {31B2F340-016D-11D2-945F-00C04FB984F9} MaxTicketAge 10

利用可能なポリシー:

MaxTicketAge

ユーザチケットの最大ライフタイム (時間)。

MaxServiceAge

分単位でのサービスチケットの最大ライフタイム。 Defined in minutes

MaxRenewAge

分単位での最大ユーザチケット更新ライフタイム。

MinimumPasswordAge

日単位の最小パスワード有効時間。

MaximumPasswordAge

日単位の最大パスワード有効時間。

MinimumPasswordLength

文字数での最小パスワード長。

PasswordComplexity

パスワードが複雑さを要求するか否か。 1 は有効、 0 は無効。

-H URL, --URL=URL

データベースまたはターゲットサーバへの LDB URL

List Samba Security Group Policy from the sysvol.

このコマンドは、winbind クライアントに適用される sysvol の セキュリティ設定を一覧表示する。これらの設定は AD DC にのみ適用される。

例: 

samba-tool gpo manage security list {31B2F340-016D-11D2-945F-00C04FB984F9}

-H URL, --URL=URL

データベースまたはターゲットサーバへの LDB URL

gpo manage smb_conf list

winbind クライアントに適用される sysvol の smb.conf 設定を一覧表示する。

例: 

samba-tool gpo manage smb_conf list {31B2F340-016D-11D2-945F-00C04FB984F9}

-H URL, --URL=URL

データベースまたはターゲットサーバへの LDB URL

gpo manage smb_conf set gpo [value] [options]

winbindクライアントに適用するために、sysvol に smb.conf 設定を設定または設定解除する。

値が指定されている場合、使用される値は smb.conf である。値が指定されていない場合、ポリシーは削除される。

例: 

samba-tool gpo manage smb_conf set {31B2F340-016D-11D2-945F-00C04FB984F9} 'apply gpo policies' yes

-H URL, --URL=URL

データベースまたはターゲットサーバへの LDB URL

gpo setinheritance container_dn block|inherit [options]

コンテナーに対して継承フラグを設定する。

gpo setlink container_dn gpo [options]

コンテナーに対して GPO を追加または更新する。

gpo removegpo [options]

GPO の情報を表示する。

GPO からポリシーを削除する。

--content を介して json 形式のファイルが提供されない限り、EOF まで標準入力から json を読みこむ。 

json_input の例:
[
    {
        "keyname": "Software\Policies\Mozilla\Firefox\Homepage",
        "valuename": "StartPage",
        "class": "USER",
    },
    {
        "keyname": "Software\Policies\Mozilla\Firefox\Homepage",
        "valuename": "URL",
        "class": "USER",
    },
    {
        "keyname": "Software\Microsoft\Internet Explorer\Toolbar",
        "valuename": "IEToolbar",
        "class": "USER"
    },
    {
        "keyname": "Software\Policies\Microsoft\InputPersonalization",
        "valuename": "RestrictImplicitTextCollection",
        "class": "USER"
    }
]

有効なクラス属性: MACHINE|USER|BOTH

-H H

データベースまたはターゲットサーバへの LDB URL

--content=CONTENT

ポリシー入力の JSON ファイル

--machine-ext-name=MACHINE_EXTS

gPCMachineExtensionNames から削除するマシン拡張名

--user-ext-name=USER_EXTS

gPCUserExtensionNames から削除するユーザ拡張名

--color=always|never|auto

有効であれば色を使用(既定値: auto)

gpo restore displayname backup location [options]

新しいコンテナに GPO をリストア。

-H H

データベースまたはターゲットサーバへの LDB URL

--tmpdir=TMPDIR

ポリシファイルをコピーするための一時ディレクトリ

--entities=ENTITIES

DOCTYPE ヘッダに挿入するための XML エンティティファイル

--restore-metadata

古いGPT.INIファイルと関連するバージョン番号を保持

gpo show gpo [options]

GPO に対する情報を表示する。

gpo manage symlink list

sysvol から、VGP シンボリックリンクグループポリシー一覧を表示する

gpo manage symlink add

sysvol に、VGP シンボリックリンクグループポリシーを追加する

gpo manage symlink remove

sysvol から、VGP シンボリックリンクグループポリシーを削除するl

gpo manage files list

sysvol から VGP ファイルグループポリシー一覧を表示する

gpo manage files add

sysvol に GP ファイルグループポリシーを追加する

gpo manage files remove

sysvol から VGP ファイルグループポリシーを削除する

gpo manage openssh list

sysvol から VGP OpenSSH グループポリシー一覧を表示する

gpo manage openssh set

sysvol に VGP OpenSSH グループポリシーを設定する

gpo manage sudoers add

sysvol に VGP OpenSSH グループポリシーを追加する。

gpo manage sudoers list

sysvol から Samba Sudoers グループポリシー一覧を表示する。

gpo manage sudoers remove

sysvol から、Samba Sudoers グループポリシーを削除する。

gpo manage scripts startup list

sysvol から VGP スタートアップグループポリシー一覧を表示する

gpo manage scripts startup add

sysvol に VGP スタートアップグループポリシーを追加する

gpo manage scripts startup remove

sysvol から VGP スタートアップグループポリシーを削除する

gpo manage motd list

sysvol から VGP MOTD グループポリシー一覧を表示する。

gpo manage motd set

sysvol に VGP MOTD グループポリシーを設定する

gpo manage issue list

sysvol から VGP Issue グループポリシー一覧を表示する。

gpo manage issue set

sysvol に VGP Issue グループポリシーを設定する

gpo manage access add

sysvol に VGP Host Access グループポリシーを追加する

gpo manage access list

sysvol から VGP Host Access グループポリシー一覧を表示する

gpo manage access remove

sysvol から VGP Host Access グループポリシーを削除する

group

グループを管理する。

group add groupname [options]

新しい AD グループを作成する。

group create groupname [options]

新しい AD group を追加する。これは samba-tool group add コマンドの別名であり、 互換のためのみで提供されている。代わりに、 samba-tool group add を使って欲しい。

group addmembers groupname members [options]

AD グループにメンバーを追加する。

group addunixattrs groupname gidnumber [options]

RFC2307 Unix 属性を Active Directory ドメインのグループ アカウントに追加する。コマンドで指定されるグループ名は sAMaccountName である。

Unix (RFC2307) 属性はグループアカウントに追加される。

これらの属性をUID/GIDマッピングに使用するには、 'idmap_ldb:use rfc2307 = Yes' をsmb.conf に追加する。

このコマンドは、root ユーザー ID または別の許可されたユーザー ID から 実行できる。-H または --URL= オプション を使用すると、リモート・サーバーに 対してコマンドを実行できる。

例1: 

samba-tool group addunixattrs Group1 10000

例1は、ドメイン対応のグループアカウントに RFC2307 属性を追加する方法を 示している。

グループの Unix ID は、この ID がまだ使用されていなければ「10000」に 設定される。

-H URL, --URL=URL

データベースまたはターゲットサーバへの LDB URL

group delete groupname [options]

AD グループを削除する。

group edit groupname

グループ AD オブジェクトを編集する。

--editor=EDITOR

システムの既定値の代わりにエディタを指定するか、システムの既定値が設定されていない 場合は 'vi' を使う。

group list

すべてのグループを一覧表示する。

group listmembers groupname [options]

指定された AD グループのメンバーを一覧表示する。

既定では、sAMAccountNames は一覧表示される。sAMAccountName が 1つもなければ、代わりに CN が使われる。

--full-dn

sAMAccountNames の代わりに distinguished names を一覧表示する。

--hide-expired

満了した group members を一覧表示しない。

--hide-disabled

無効の disabled group members を表示しない。

--locked-only

ロックされたユーザアカウントのみ一覧表示。

group move groupname new_parent_dn [options]

このコマンドは、グループを、指定された organizational unit か コンテナ中に移動する。

このコマンドで指定されたグループ名は sAMAccountName である。

organizational unit 又は container の名前は 完全な DN かドメインDNコンポーネントなしで指定できる。

group removemembers groupname members [options]

指定された AD グループからメンバーを削除する。

group show groupname [options]

グループオブジェクトとその属性を表示する。

group stats [options]

グループ全体とグループメンバの統計を表示する。

group rename groupname [options]

グループと関連する属性を改名する。

このコマンドはグループ名に関連する属性の設定を許可する。 グループの CN は自動的に改名される。 グループの CN は sAMAccountName になる。 新しい CN を手動で設定する場合は --force-new-cn を、この変更をリセットする場合は、 --reset-cn オプションを使用する。

指定された属性を削除する場合は、空の属性値を使用する。

コマンド上で groupname を指定する場合は sAMAccountName である。

--force-new-cn=NEW_CN

sAMAccountName を使う代わりに 新しい CN (RDN) を指定する。

--reset-cn

sAMAccountName で CN を設定する。

--mail-address=MAIL_ADDRESS

新しい email address。

--samaccountname=SAMACCOUNTNAME

新しい account name (sAMAccountName/logon name)

ldapcmp URL1 URL2 domain|configuration|schema|dnsdomain|dnsforest [options]

2 つの LDAP データベースを比較する。

ntacl

NT ACL を管理する。

ntacl changedomsid original-domain-SID new-domain-SID file [options]

ACL のドメイン SID を変更する。 マシンの SID が間違って変更されたときや、バックアップ/リストアあるいは rsyncで データセットが他のマシンにコピーされた時などに、acl_xattr 中のすべてのエントリを 変更するのに使える。.

--use-ntvfs

TDB や xattr に対して ACL を直接設定する。POSIX パーミッションは 変更されず、NT ACL のみ格納される。

--service=SERVICE

使用する smb.conf サービスの名前を指定する。このオプションは --use-s3fs オプションと同時に使用する。

--use-s3fs

VFS レイヤ経由で 既定の s3fs ファイルサーバで使用するACLを設定する。 このオプションは --service=SERVICE オプションで指定する smb.conf serviceと 同時に使用する。

--xattr-backend=[native|tdb]

xattr バックエンドタイプを指定する(ネイティブな fs または tdb)。

--eadb-file=EADB_FILE

属性が格納されている tdb ファイルの名前。

--recursive

ディレクトリとその配下に対して ACL を設定する。

--follow-symlinks

--recursive が指定されたときに、シンボリックリンクもたどる。

--verbose

処理されたファイルと ACL の一覧を表示する。

ntacl getdosinfo file [options]

xattr からファイルの DOS 情報を取得する。

ntacl get file [options]

ファイルの ACL を表示する。

ntacl set acl file [options]

ファイルに ACL を設定する。

ntacl sysvolcheck

sysvol ACL がデフォルトであるかどうかを検査する。(GPO 上の適正な ACL を含む)

ntacl sysvolreset

sysvol ACL をリセットしてデフォルトにする。(GPO 上の適正な ACL を含む)

ou

organizational unit (OU) の管理

ou add ou_dn [options]

organizational unit を追加する。

organizational unit の名前は完全なDNか ドメインDNコンポーネントなしで指定できる。

--description=DESCRIPTION

OU の説明を指定する。

ou create ou_dn [options]

新しい organizational unit を作成する。これは samba-tool ou add コマンドの別名であり、 互換のためにのみある。代わりに samba-tool ou add を使って欲しい。

ou delete ou_dn [options]

organizational unitを削除する。

organizational unit の名前は、完全なDNか、 ドメインDNコンポーネントなしで指定できる。

--force-subtree-delete

organizational unit とその配下すべてを再帰的に削除する。

ou list [options]

すべての organizational units を表示する。

--full-dn

base DN を含めて DN を表示する。

ou listobjects ou_dn [options]

organizational unit 中のすべてのオブジェクトを表示する。

organizational unit の名前は、完全なDNか、 ドメインDNコンポーネントなしで指定できる。

--full-dn

base DN を含めて DN を表示する。

-r|--recursive

オブジェクトを再帰的に表示する。

ou move old_ou_dn new_parent_dn [options]

organizational unit を移動する。

organizational units の名前は、完全なDNか、 ドメインDNコンポーネントなしで指定できる。

ou rename old_ou_dn new_ou_dn [options]

organizational unit の名前を変更する。

organizational units の名前は、完全なDNか、 ドメインDNコンポーネントなしで指定できる。

processes

Samba サーバプロセスを一覧表示する。

プロセスが表示されていないが、Samba が実行されている 場合は、samba-tool が正しい smb.conf を検出していない可能性があり、 -s/--configfile の使用が必要である。

--name=NAME

指定された名前のプロセスを表示する。

--pid=PID

指定された PID の名前を表示する。

rodc

読み取り専用ドメインコントローラー(Read-Only Domain Controller; RODC)を管理する。

rodc preload SID|DN|accountname [options]

RODC における 1 つのアカウントを事前ロードする。

schema

スキーマの管理と問合せ。

schema attribute modify attribute [options]

スキーマ中の属性の動作を変更。

schema attribute show attribute [options]

属性スキーマ定義の表示。

schema attribute show_oc attribute [options]

この属性に含まれる MAY または MUST なオブジェクトクラスを表示。

schema objectclass show objectclass [options]

オブジェクトクラススキーマ定義の表示。

service-account

サービスアカウント管理。

service-account list

ドメイン上のサービスアカウントを一覧表示する。

-H, --URL

データベースまたはターゲットサーバへの LDB URL。

--json

リストの代わりに JSON でサービスアカウントを表示。

service-account view

ドメイン上の、一つのサービスアカウントを表示。

-H, --URL

データベースまたはターゲットサーバへの LDB URL。

--name

表示するサービスアカウントの名前(必須)。

service-account create

ドメン上で新規サービスアカウントを作成。

-H, --URL

データベースまたはターゲットサーバへの LDB URL。

--name

表示するサービスアカウントの名前(必須)。

--dns-host-name

このサービスアカウントの DNS ホスト名(必須)。

--group-msa-membership

オプションのグループ MSA メンバシップ SDDL。

--managed-password-interval

日単位の管理パスワード更新間隔。

service-account modify

ドメイン上の、既存のサービスアカウントの変更。

-H, --URL

データベース又はターゲットサーバへの LDB URL。

--name

表示するサービスアカウントの名前(必須)。

--dns-host-name

このサービスアカウントの更新する DNS ホスト名(必須)。

--group-msa-membership

更新するグループ MSA メンバシップ SDDL。

service-account delete

ドメイン上でサービスアカウントを削除。

-H, --URL

データベースまたはターゲットサーバへの LDB URL。

--name

削除するサービスアカウントの名前。

service-account group-msa-membership

サービスアカウントグループ MSA メンバシップの管理。

service-account group-msa-membership show

サービスアカウントの、グループ MSA メンバシップの表示。

-H, --URL

データベースまたはターゲットサーバへの LDB URL。

--name

サービスアカウントの名前(必須)。

--json

リストの代わりに JSON で返す。

service-account group-msa-membership add

サービスアカウントへのグループ MSA メンバシップへプリンシパルを追加。

-H, --URL

データベースまたはターゲットサーバへの LDB URL。

--name

サービスアカウントのアカウント名(必須)。

--principal

追加するための、プリンシパルの名前、DN または SID。

service-account group-msa-membership remove

サービスアカウントへのグループ MSA メンバシップからプリンシパルを削除。

-H, --URL

データベースまたはターゲットサーバへの LDB URL。

--name

サービスアカウントの名前(必須)。

--principal

削除するプリンシパルの名前、DN または SID。

shell

対話的な Samba Python シェルを開く。

shell [options]

Samba ldb 接続用に対話的な Python シェルを開く。

-H, --URL

データベースまたはターゲットサーバの LDB URL。

sites

サイトを管理する。

sites list [options]

サイトを一覧表示する。

--json

一覧表示の代わりに JSON で出力

sites create site [options]

新しいサイトを作成する。

sites remove site [options]

存在するサイトを削除する。

sites subnet list site [options]

サイトのサブネットを一覧表示する。

--json

一覧表示の代わりに JSON で出力

sites subnet view subnet [options]

サブネットの詳細を表示する。

sites subnet create subnet site-of-subnet [options]

新しいサブネットを作成する。

sites subnet remove subnet [options]

既存のサブネットを削除する。

sites subnet set-site subnet site-of-subnet [options]

サブネットをサイトに割り当てる。

spn

サービスプリンシパル名(Service Principal Names; SPN)を管理する。

spn add name user [options]

新しい SPN を作成する。

spn delete name [user] [options]

存在する SPN を削除する。

spn list user [options]

指定されたユーザーの SPN を一覧表示する。

testparm

設定ファイルの文法を検査する。

time

サーバー上の時刻を調べる。

user

ユーザーを管理する。

user add username [password]

新しいユーザーを AD ドメインに追加する。

user addunixattrs username uid-number [options]

ユーザに RFC2307 属性を追加する。

このコマンドは、Active Directory ドメインのユーザーアカウントに Unix属性を追加する。

コマンドで指定されるユーザ名は、sAMaccountNameである。

一意の uid を提供しなければならない。

UNIX(RFC2307) 属性がユーザー・アカウントに追加される。

'--gid-number' でグループIDを指定した場合、これはユーザの Unix 'gidNumber' 属性に使用される。

'--gid-number' が指定されていない場合、ユーザーの Unix gidNumber は 'Domain Users'のものに設定される。これは、Domain Users に gidNumber 属性が必要であることを意味する。

'--unix-home' が指定されていない場合、ユーザの Unix ホーム ディレクトリは /home/DOMAIN/username に設定される。

'--login-shell' が指定されていない場合、ユーザーの Unix ログイン・シェルは '/bin/sh'に設定される。

'---gecos'が指定されていない場合、ユーザの Unix gecosフィールドは ユーザーの 'CN' 属性に設定される。

UID/GID マッピングにこれらの属性を使用するには、DC の smb.conf に 'idmap_ldb:use rfc2307 = Yes' を追加する。

コマンドは、root ユーザー ID または別の許可されたユーザー ID から 実行できる。-H または --URL= オプションを使用して、 リモート・サーバーに対してコマンドを実行できる。

例1: 

samba-tool user addunixattrs User1 10001

例1 は、RFC2307 属性をドメイン対応のユーザーアカウントに追加する 方法を示している。Domain Users はユーザー gidNumber として設定される。

この ID がまだ使用されていなければ、ユーザーの Unix IDは '10001' に設定される。

例2: 

samba-tool user addunixattrs User2 10002 --gid-number=10001 --unix-home=/home/User2

例2は、ドメイン対応のユーザーアカウントに RFC2307 属性を追加する方法を示している。

この ID がまだ使用されていなければ、ユーザーの Unix ID は '10002' に設定される。

ユーザの gidNumber 属性は '10001'に設定される。

ユーザーの Unix ホーム・ディレクトリは '/home/user2' に設定される。

例3: 

samba-tool user addunixattrs User3 10003 --gid-number=10001 --login-shell=/bin/false --gecos='User3 test'

例3は、ドメイン対応のユーザーアカウントに RFC2307 属性を追加する方法を示している。

ユーザーの Unix ID は、まだ使用されていなければ '10003' に 設定される。ユーザーの gidNumber 属性は '10001' に設定される。 ユーザーの Unix ログイン・シェルは '/bin/false' に設定される。 ユーザーの gecos フィールドは 'User3 test' に設定される。

-H URL, --URL=URL

データベースまたはターゲットサーバへの LDB URL

--gid-number=GROUP_ID

ユーザの Unix/RFC2307 GID

--unix-home=DIR

ユーザの Unix/RFC2307 ホームディレクトリ

--login-shell=SHELL

ユーザの Unix/RFC2307 ログインシェル

--gecos=GECOS

ユーザの Unix/RFC2307 GECOS フィールド

--uid=USER_ID

ユーザの Unix/RFC2307 ユーザ id

user create username [password]

新しいユーザを追加する。これはsamba-tool user add コマンドの別名であり、互換のためのみにある。代わりに、 samba-tool user add を使って欲しい。

user delete username [options]

存在するユーザーアカウントを削除する。

user disable username

ユーザーアカウントを無効にする。

--remove-supplemental-groups

全てのグループに対してユーザを削除するが、プライマリグループではそのまま 保持する。

user edit username

ユーザアカウント AD オブジェクトを編集する。

--editor=EDITOR

システムの既定値の代わりにエディタを指定するか、システムの既定値が設定されていない 場合は 'vi' を使う。

user enable username

ユーザーアカウントを有効にする。

user list

ユーザ一覧を表示する。

既定では、ユーザの sAMAccountNames が表示される。

--full-dn

ユーザの distinguished names を sAMAccountNames の代わりに表示する。

-b BASE_DN|--base-dn=BASE_DN

base DN を指定する。指定された base DN 配下のもののみ表示される。

--hide-expired

満了したユーザアカウントを表示しなう。

--hide-disabled

無効のユーザアカウントを表示しない。

user list

すべてのユーザーを一覧表示する。

user setprimarygroup username primarygroupname

ユーザアカウントのプライマリグループを設定する。

user getgroups username

ユーザアカウントのダイレクトグループを取得する。

user show username [options]

ユーザの AD オブジェクトを表示する。

--attributes=USER_ATTRS

表示可能な、コンマで分離された属性の一覧。

user move username new_parent_dn [options]

このコマンドは、ユーザアカウントを指定された organizational unit 又はコンテナに移動する。

コマンドラインで指定された username は sAMAccountName である。

organizational unit 又は コンテナ の名前は 完全な DN または domainDN コンポーネントなしで指定できる。

user password [options]

ユーザーアカウントのパスワードを変更する(認証されたものに限る)。

user rename username [options]

ユーザと関連する属性を改名する。

このコマンドはユーザの名前に関連する属性の設定を許可する。ユーザの CN は自動的に改名される。 ユーザの新しい CN は、given-name, initials と surname を組み合わせることで 作成される。ドット ('.') は、必要であれば自動的に initials に追加される。 新しい CN を手動で指定する際には --force-new-cn を、この変更をリセットする 場合は、--reset-cn オプションを使用する。

指定された属性を削除するには、空の属性値を使用する。

コマンド上で username の指定は sAMAccountName である。

--surname=SURNAME

新しい surname

--given-name=GIVEN_NAME

新しい given name

--initials=INITIALS

新しい initials

--force-new-cn=NEW_CN

Specify 新しい CN (RDN) を given name, initials と surname の 組み合わせを使う代わりに指定する。

--reset-cn

既定の given name, initials と surname の組み合わせを CN に設定する。

--display-name=DISPLAY_NAME

新しい display name

--mail-address=MAIL_ADDRESS

新しい email address

--samaccountname=SAMACCOUNTNAME

新しい account name (sAMAccountName/logon name)

--upn=UPN

新しい user principal name

user sensitive accountname [show|on|off] [options]

アカウントの UF_NOT_DELEGATED を設定/設定解除または表示する。

-H URL, --URL=URL

データベースまたはターゲットサーバへの LDB URL

user setexpiry username [options]

ユーザーアカウントの満了日を設定する。

user unlock username [options]

このコマンドは AD ドメイン中のユーザアカウントをアンロックする。

user setpassword username [options]

ユーザーアカウントのパスワードを設定または初期化する。

user getpassword username [options]

ユーザアカウントのパスワードを取得する。

user get-kerberos-ticket username [options]

アカウントとして Kerberos Ticket Granting Ticket を取得する。

user syncpasswords --cache-ldb-initialize [options]

オプションのスクリプトを試用してすべてのユーザーアカウントのパスワードを同期する。

このコマンドは、単一のドメインコントローラー上でのみ動かすこと(通常は PDC エミュレーター)。

user auth policy assign username [options]

ユーザに対して割り当てられた認証ポリシを設定する。

--policy

割り当てる認証ポリシの名前あるいは削除する場合は空のまま。

user auth policy remove username

ユーザから割り当てられた認証ポリシを取り去る。

user auth policy view username

ユーザに割り当てられた認証ポリシを表示。

user auth silo assign username [options]

ユーザに対して割り当てられた認証サイロを設定する。

--silo

割り当てる認証サイロの名前あるいは削除する場合は空のまま。

user auth silo remove username

ユーザから割り当てられた認証サイロを取り去る。

user auth silo view username

ユーザに割り当てられた認証サイロを表示。

vampire [options] domain

リモートの AD ドメインに参加し、ローカルサーバーへ同期する。 samba-tool vampire は古い形式であることに注意。 代わりに samba-tool domain join を使うこと。

visualize [options] subcommand

Samba のネットワーク状態をグラフィカルに表示する。 レプリケーショングラフで何が起こっているかを知るには、可視化を使うことが 役に立つ場合がある。

これには2つのサブコマンド、2つのグラフィックモード、(大まかに言って) 権限の位置に関する2つの操作モードがある。

操作モード

samba-tool visualize ntdsconn

NTDS 接続を探す。

samba-tool visualize reps

repsTo と repsFrom オブジェクトを探す。

samba-tool visualize uptodateness

uptodateness ベクタとして表示されているような、 レプリケーションの遅延を探す。

グラフィカルモード

--distance

ターミナル中に、マトリクス形式で、DC間の 距離を表示する。

--dot

Graphviz dot 形式のファイルを出力する(ntdsconn と reps モード用)。 dot または xdot を用いることによって、ネットワークをグラフ化 して参照することができる。その際には、DC が頂点として、また ネットワーク接続が辺によって表現される。特定のネットワーク 接続は、異なった色や線のスタイルによって表現される。

--xdot

[--dot] と同じように dot を出力し、さらに、/usr/bin/xdot を使って すぐに結果を表示する。

-r

通常samba-tool は1つの データベースを使う; [-r] オプションを指定すると、 最初のデータベースが知っている、すべてのDCに対して接続を試みる。 これは、samba-tool visualize uptodateness と、 repsFrom/To オブジェクトが複製(レプリケーション)されないため、 samba-tool visualize reps から 賢明な結果を得るために必要である。また、これにより、 他のモードにおけるレプリケーションの問題を明確にすることができる。

ヘルプ

使用方法を提示する。

バージョン

このマニュアルページは Samba バージョン 4.23.0 用である。

著者

オリジナルの Samba ソフトウェアと関連するユーティリティは、 Andrew Tridgell によって作成された。現在 Samba は Samba Team によって、 Linux カーネルの開発と同様のオープンソースプロジェクトとして開発が 行なわれている。

日本語訳

このマニュアルページは Samba 4.23.0 - 4.23.0 に対応する。

Samba 4.0.0 - 4.23.0 対応の翻訳は、

  • 太田俊哉(ribbon@samba.gr.jp)

  • matsuand(michio_matsuyama@yahoo.co.jp)

によって行われた。