名前

samba-tool — Samba 管理のためのメインツール

書式

samba-tool [-h] [-W myworkgroup] [-U user] [-d debuglevel] [--v]

説明

このツールは samba(7) システムの一部である。

オプション

-h|--help

このヘルプメッセージを表示して終了する。

-r|--realm=REALM

ドメインのレルムを指定する。

ここでこのパラメータを指定すると、${prefix}/etc/smb.conf ファイル中の realm パラメータを上書きすることに注意。

--simple-bind-dn=DN

シンプルバインドで使う DN。

--password

コマンド行上でパスワードを指定する。

パスワードをスクリプトに含める場合は注意すること。セキュリティを確保する ため、必要に応じてクライアントにパスワードを要求させることを推奨する。

-U|--user=[DOMAIN\]USERNAME[%PASSWORD]

SMB のユーザー名、またはユーザー名とパスワードを指定する。

もしも %password を指定しないと、ユーザーにパスワードの入力を求める。 クライアントはまず初めにUSERLOGNAMEの 順に環境変数の存在を調べ、もしもどちらかが存在するならば、その文字列を 大文字にする。環境変数が存在しない場合、ユーザー名として GUESTが用いられる。

このほかに、平文のユーザー名とパスワードを記述した認証ファイルを使用する 3番目のオプションがある。このオプションは主にスクリプト向けに用意されて おり、認証情報をコマンドラインや環境変数に含めたくない場合に有用である。 このオプションを利用するときは、ファイルのパーミッションを確認し、ほかの ユーザーから参照されないように注意すること。詳細は -Aオプションを参照のこと。

パスワードをスクリプトに含める場合は注意すること。セキュリティを確保する ため、必要に応じてクライアントにパスワードを要求させることを推奨する。

-W|--workgroup=WORKGROUP

ユーザー名の SMB ドメインを指定する。このオプションは、 smb.conf 内のデフォルトのドメイン設定よりも優先される。 ドメイン名としてサーバーの NetBIOS 名を指定すると、クライアントは (ドメインの SAM ではなく) サーバーのローカル SAM を使用して ログオンを試みる。

ここでこのパラメータを指定すると、${prefix}/etc/smb.conf ファイル中の workgroup パラメータを上書きすることに注意。

-N|--no-pass

このオプションを指定すると、クライアントはユーザーへの パスワード入力要求をしなくなる。パスワードが必要ないサービスに アクセスするときに有用である。

コマンドラインにパスワードが指定されておらず、このオプションも指定 されていないと、クライアントはパスワードを要求する。

もしも、パスワードがコマンドライン上で指定され、このオプションも 定義されていた場合、コマンドライン上のパスワードは無視され、 パスワードは使われない。

--use-kerberos=desired|required|off

このパラメータは、Samba クライアントツールが Kerberos を 使って認証を試みるかを決定する。Kerberos 認証では、サービスに 接続する際、IP アドレスではなく、DNS 名を使用する必要がある。

ここでこのパラメータを指定すると、${prefix}/etc/smb.conf ファイル中の client use kerberos パラメータを 上書きすることに注意。

--use-krb5-ccache=CCACHE

Kerberos認証用の資格情報キャッシュの場所を指定する。

これは --use-kerberos=required も同時に設定する。

-A|--authentication-file=filename

このオプションは、指定したファイルから、接続時に使用する ユーザー名とパスワードを読み込むために使用する。 ファイルの形式は次の通り:

                                username = <value>
                                password = <value>
                                domain   = <value>
                        

ファイルのパーミッションを確認し、他のユーザーから参照されない ように注意すること。

--ipaddress=IPADDRESS

サーバーの IP アドレス。

--color=always|never|auto

samba-tool が、その出力に、ANSI カラーコードを使うか否かを 表示する。'auto' (既定値)だった場合、 samba-tool は その出力が直接端末に送られる時には、NO_COLOR 環境変数が 設定されていて、それが空白でない限り、色を使用する。

'yes' と 'force' と言う値は 'always' の別名として受け付け られる。また、'no' と 'none' は 'never' の別名であり、'tty' と 'if-tty' は 'auto' の別名である。

色を使うことを指定しても、samba-tool がとてもカラフルになるとは 限らないことに注意。多くのコマンドは、(実行が)成功した場合、 ほとんど白黒である。

-d|--debuglevel=DEBUGLEVEL

level は0から10までの整数値である。 このパラメータが設定されていない場合の規定の値は、 クライアントアプリケーションに対しては、1 である。

この値を大きくするほど、サーバーの動作に関するより詳細な情報が ログファイルに記録される。レベル 0 では、致命的なエラーと重大な警告 のみが記録される。レベル 1 は日々の運用に適しており、少量の稼働状況 に関する情報を生成する。

1 より上のレベルは大量のログが生成されるので、問題解決の時にのみ 使用すべきである。 3 より上のレベルは開発者だけが利用するように設計されて おり、莫大な量のログデータが生成される。そのほとんどは非常に謎めいた内容 となっている。

このパラメーターの指定は、${prefix}/etc/smb.conf ファイル中の、 log level パラメーターの 指定よりも優先する事に注意。

--debug-stdout

このパラメータはデバッグ出力を STDOUT にリダイレクトする。既定では、 すべてのクライアントはログを STDERR に出力する。

コマンド

computer

コンピュータアカウントの管理。

computer add computername [options]

Active Directory ドメイン中に新しいコンピュータを追加する。

コマンドで指定された新しいコンピュータ名は sAMAccountName で、 末尾にドル記号がある場合も無い場合もある。

--computerou=COMPUTEROU

新しいコンピュータオブジェクトが作成されるときの、既定値の CN=Computers に対する 代替ロケーションの DN (domainDN のコンピュータ部分がある場合も無い場合もある) 。 たとえば 'OU=OUname'.

--description=DESCRIPTION

新しいコンピュータの説明。

--ip-address=IP_ADDRESS_LIST

コンピュータの A レコードに割り当てる IPv4 アドレスか AAAA レコードに割り当てる IPv6 アドレス で、複数回指定できる。

--service-principal-name=SERVICE_PRINCIPAL_NAME_LIST

コンピュータのサービスプリンシパル名で、複数回指定できる。

--prepare-oldjoin

oldjoin メカニズムに対して、有効化したマシンアカウントを準備する。

computer create computername [options]

新しいコンピュータを追加する。これは samba-tool computer add コマンドの別名であり、互換のためのみで 提供されている。かわりに samba-tool computer add を使用して欲しい。

computer delete computername [options]

存在しているコンピュータアカウントを削除する。

コマンドで指定されたコンピュータ名は sAMAccountName で、ドル記号がついている場合も無い場合もある。

computer edit computername

コンピュータの AD オブジェクトを編集する。

コマンドで指定されたコンピュータ名は sAMAccountName であり、 末尾にはドル記号が付く場合と付かない場合がある。.

--editor=EDITOR

システムの既定値の代わりにエディタを指定するか、システムの既定値が設定されていない 場合は 'vi' を使う。

computer list

コンピュータの一覧を表示する。

computer move computername new_parent_dn [options]

このコマンドは、コンピュータアカウントを指定された organizational unit または container に移動する。

コマンドで指定されたコンピュータ名は sAMAccountName で、ドル記号がついている場合も無い場合もある。

organizational unit 又は container の名前は、 完全な DN 又は without the domainDN コンポーネントなしで指定することが出来る。

computer show computername [options]

コンピュータの AD オブジェクトを表示する。

コマンドで指定されたコンピュータ名は sAMAccountName で、ドル記号がついている場合も無い場合もある。

--attributes=USER_ATTRS

CSV形式の、表示可能な形式による、属性の一覧。

contact

contact の管理

contact add [contactname] [options]

Active Directory ドメイン内で新しい contact を追加する。

新しい contact の新しい名前は最初の引数 'contactname' か、 --given-name 、 --initial 、 --surname 引数で指定できる。 'contactname' が指定されなかった場合、contact の名前は given-name、initials と surname を合成することによって作成される。各引数の指定は任意である。ピリオド ('.') は initials に自動的に追加される。

--ou=OU

新しく作成された contact の alternative location のDN(domainDN counterpartの有無にかかわらず)。 例 'OU=OUname'. 既定値はドメインベース。

--description=DESCRIPTION

新しい contact の説明。

--surname=SURNAME

contact の surname。

--given-name=GIVEN_NAME

contact のgiven name。

--initials=INITIALS

contact の initials。

--display-name=DISPLAY_NAME

contact の display name。

--job-title=JOB_TITLE

contact の job title。

--department=DEPARTMENT

contact の department。

--company=COMPANY

contact の company。

--mail-address=MAIL_ADDRESS

contact の メールアドレス。

--internet-address=INTERNET_ADDRESS

contact のホームページ。

--telephone-number=TELEPHONE_NUMBER

contact の電話番号。

--mobile-number=MOBILE_NUMBER

contact の 携帯電話番号。

--physical-delivery-office=PHYSICAL_DELIVERY_OFFICE

contact のオフィス住所。

contact create [contactname] [options]

新しい contact を追加する。これは samba-tool contact add コマンドの別名であり、互換のためのみで 用意されている。代わりに samba-tool contact add を使って欲しい。

contact delete contactname [options]

既存の contact を削除する。

コマンドで指定した contactname は common name か contact オブジェクトの distinguished name である。contact の distinguished name における domainDN コンポーネント指定の有無は任意である。

contact edit contactname

contact AD オブジェクトを修正する。

コマンドで指定した contactname は common name か contact オブジェクトの distinguished name である。contact の distinguished name における domainDN コンポーネント指定の有無は任意である。

--editor=EDITOR

システムの既定値の代わりにエディタを指定するか、システムの既定値が設定されていない 場合は 'vi' を使う。

contact list [options]

contact 一覧を表示する。

--full-dn

名前の代わりに contact の完全な DN を表示する。

contact move contactname new_parent_dn [options]

このコマンドは、 contact を指定された organizational unit またはコンテナに移動する。

コマンドで指定した contactname は common name か contact オブジェクトの distinguished name である。contact の distinguished name における domainDN コンポーネント指定の有無は任意である。

contact show contactname [options]

contact の AD オブジェクトを表示する。

コマンドで指定した contactname は common name か contact オブジェクトの distinguished name である。contact の distinguished name における domainDN コンポーネント指定の有無は任意である。

--attributes=CONTACT_ATTRS

コンマで分けられた印刷可能な属性の一覧ある。

contact rename contactname [options]

contact と関連する属性を改名する。

このコマンドは、contact の名前に関連する属性を設定することを許可する。contact の CN は自動的に改名される。 contact の新しい CN は、given-name、イニシャル、と surname を結合することにより 作成される。ドット ('.') は、必要であれば、イニシャルに自動的に追加される。 新しい CN を手動で指定するときには --force-new-cn を、 この変更をリセットするときには --reset-cn オプションを使用する。

指定された属性を削除するには、空の属性値を使用する。

コマンド上では contact 名は CN で指定する。

--surname=SURNAME

新しい surname。

--given-name=GIVEN_NAME

新しい given name。

--initials=INITIALS

新しい initials。

--force-new-cn=NEW_CN

given name, initials と surname の組み合わせを使う代わりに、 新しい CN (RDN) を指定する。

--reset-cn

given name, initials と surname の既定の組み合わせで CN を設定する。

--display-name=DISPLAY_NAME

新しい display name

--mail-address=MAIL_ADDRESS

新しい email address。

dbcheck

ローカルの AD データベースでエラーを検査する。

delegation

委任(delegation)を管理する。

delegation add-service accountname principal [options]

msDS-AllowedToDelegateTo としてサービスプリンシパルを追加する。

delegation del-service accountname principal [options]

msDS-AllowedToDelegateTo としてサービスプリンシパルを削除する。

delegation for-any-protocol accountname [(on|off)] [options]

アカウントに対して UF_TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION (S4U2Proxy) を設定/解除する。

delegation for-any-service accountname [(on|off)] [options]

アカウントに対して UF_TRUSTED_FOR_DELEGATION を設定/解除する。

delegation show accountname [options]

アカウントの委任設定を表示する。

dns

ドメインネームシステム(DNS)を管理する。

dns add server zone name A|AAAA|PTR|CNAME|NS|MX|SRV|TXT data

DNS レコードを追加する。

dns delete server zone name A|AAAA|PTR|CNAME|NS|MX|SRV|TXT data

DNS レコードを削除する。

dns query server zone name A|AAAA|PTR|CNAME|NS|MX|SRV|TXT|ALL [options] data

名前を問い合わせる。

dns roothints server [name] [options]

ルートヒント(root hint)を問い合わせる。

dns serverinfo server [options]

サーバー情報を問い合わせる。

dns update server zone name A|AAAA|PTR|CNAME|NS|MX|SRV|TXT olddata newdata

DNS レコードを更新する。

dns zonecreate server zone [options]

DNS ゾーンを作成する。

dns zonedelete server zone [options]

DNS ゾーンを削除する。

dns zoneinfo server zone [options]

DNS ゾーン情報を問い合わせる。

dns zonelist server [options]

DNS ゾーンを一覧表示する。

domain

ドメインを管理する。

domain backup

ドメインのバックアップを作成/リストアする。

domain backup offline

(適切なロックを行って) ローカルドメインディレクトリを tar ファイルにバックアップする。

domain backup online

現在動作中の DC の、現在の DB を、バックアップ tar ファイルにコピーする。

domain backup rename

現在動作中の DC の DB をバックアップファイルにコピーし、プロセスのドメイン名を変更する。

domain backup restore

ドメイン DB をバックアップファイルからリストアする。

domain auth policy list

ドメイン上の認証ポリシを一覧表示する。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--json

一覧の代わりに認証ポリシを一覧で表示する。

domain auth policy view

ドメイン上の認証ポリシを表示する。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

表示すべき認証ポリシの名前(必須)。

domain auth policy create

ドメイン上の認証ポリシを作成する。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

認証ポリシの名前(必須)。

--description

認証ポリシに対するオプションの説明。

--protect

誤操作による削除から認証ポリシを保護する。

--unprotect と共には使えない。

--unprotect

誤操作による削除から認証ポリシを保護しない。

--protect と共には使えない。

--audit

監査認証ポリシーのみ。

--enforce と共には使えない。

--enforce

認証ポリシを強制。

--audit と共には使えない。

--strong-ntlm-policy

強力な NTLM ポリシ (無効、オプション、必須)。

--user-tgt-lifetime-mins

ユーザアカウントの Ticket-Granting-Ticket 生存時間。

--user-allow-ntlm-auth

allowed-to-authenticate-from が使用されているにもかかわらず、 NTLM対話型の NETLOGON SamLogon認証を行う。 これを行わないと、ユーザーは選択されたデバイスに制限される。

--user-allowed-to-authenticate-from

このポリシーの対象となるユーザが認証を許可される ためにデバイスが満たす必要がある条件。これは デバイスに対する制限だが、条件付き ACEルールは、 デバイスがユーザであるかのように表現される。

Deviceキーワードを参照しない有効なSDDL 文字列でなければならない。

例: O:SYG:SYD:(XA;OICI;CR;;;WD;(Member_of {SID(AU)}))

--user-allowed-to-authenticate-from-silo

ユーザ認証用デバイスが割り当てられ、 指定されたサイロのメンバシップが許可 されている場合、ユーザーは認証を許可される。

この属性は、SDDLを手書きする必要性を回避し、 --user-allowed-to-authenticate-fromとともに 使用することはできない。

--user-allowed-to-authenticate-to=SDDL

このポリシーは、サービスを提供するユーザ アカウント(ユーザアカウントを持つ Web サーバなど)に適用され、そのサービスに アクセスできるアカウントを制限する。

有効な SDDL 文字列でなければならない。 SDDL はベア(ユーザ)とデバイス条件両方を 参照することができる。

SDDL の例: O:SYG:SYD:(XA;OICI;CR;;;WD;(Member_of {SID(AO)}))

--user-allowed-to-authenticate-to-by-group=GROUP

GROUP. このポリシーの対象となるネットワーク サービスを提供するユーザーアカウントは、 指定されたGROUPの メンバーである他のアカウントからの アクセスのみが許可される。

この属性は、SDDLを手書きする必要性を回避し、 --user-allowed-to-authenticate-to とともに 使用することはできない。

--user-allowed-to-authenticate-to-by-silo=SILO

このポリシーの対象となるネットワーク サービスを提供するユーザーアカウントには、 指定された SILO に割り当てられ、そのメ ンバーシップに許可された(その認証条件を満たす) 他のアカウントからのアクセスのみが許可される。

この属性は、SDDLを手書きする必要性を回避し、 --user-allowed-to-authenticate-to とともに 使用することはできない。

--service-tgt-lifetime-mins

サービスアカウント用の Ticket-Granting-Ticket 生存時間。.

--service-allow-ntlm-auth

サービスが選択したデバイスに制限されている場合、 NTLM ネットワーク認証を許可する。

--service-allowed-to-authenticate-from

このポリシーの対象となるサービスアカウ ントが認証を許可されるためにデバイスが 満たす必要がある条件。これは デバイスに対する制限だが、条件付き ACE ルールは、 デバイスがユーザであるかのように表現される。

Device キーワードを参照しない有効な SDDL 文字列でなければならない。

SDDL の例: O:SYG:SYD:(XA;OICI;CR;;;WD;(Member_of {SID(AU)}))

--service-allowed-to-authenticate-from-device-silo=SILO

サービスアカウント(管理対象サービスアカウント、 グループ管理対象サービスアカウントなど)は、 認証元のデバイスが割り当てられ、指定された SILOのメンバーシップが 許可されている場合に、認証を許可される。

この属性は、SDDLを手書きする必要性を回避し、 --service-allowed-to-authenticate-from とともに 使用することはできない。

--service-allowed-to-authenticate-from-device-group=GROUP

サービスアカウント(Managed Service Account、 Group Managed Service Accountなど)は、 認証元のデバイスが指定された groupのメンバーである 場合、認証を許可される。

この属性は、SDDLを手書きする必要性を回避し、 --service-allowed-to-authenticate-from とともに 使用することはできない。

--service-allowed-to-authenticate-to=SDDL

このポリシーは、サービスアカウント (管理対象サービスアカウント、グループ管理対象 サービスアカウントなど)に適用され、その アカウントにアクセスできるアカウントを制限する。

有効な SDDL 文字列でなければならない。 SDDL はベア(ユーザ)とデバイス条件両方を 参照することができる。

SDDL の例: O:SYG:SYD:(XA;OICI;CR;;;WD;(Member_of {SID(AO)}))

--service-allowed-to-authenticate-to-by-group=GROUP

サービスアカウント(Managed Service Account、 Group Managed Service Accountなど)は、 指定されたGROUPの メンバである他のアカウントによるアクセス のみが許可される。

この属性は、SDDLを手書きする必要性を回避し、 --service-allowed-to-authenticate-to とともに 使用することはできない。

--service-allowed-to-authenticate-to-by-silo=SILO

サービス・アカウント(管理対象サービスアカウント、 グループ管理対象サービスアカウントなど)は、 指定された SILO に割り当てられ、その メンバーシップを付与された(その認証条件を 満たす)他のアカウントによってのみアクセスが許可される。

この属性は、SDDLを手書きする必要性を回避し、 --service-allowed-to-authenticate-to とともに 使用することはできない。

--computer-tgt-lifetime-mins

コンピュータアカウントの Ticket-Granting-Ticket 生存時間。

--computer-allowed-to-authenticate-to=SDDL

このポリシーは、コンピュータアカウント (たとえば server または workstation)に 適用され、そのアカウントにアクセス できるアカウントを制限する。

有効な SDDL 文字列でなければならない。 SDDL はベア(ユーザ)とデバイス条件両方を 参照することができる。

SDDL の例: O:SYG:SYD:(XA;OICI;CR;;;WD;(Member_of {SID(AO)}))

--computer-allowed-to-authenticate-to-by-group=GROUP

コンピュータアカウント(たとえば server または workstation)は、 指定されたGROUPの メンバである他のアカウントによるアクセス のみが許可される。

この属性は、SDDLを手書きする必要性を回避し、 --computer-allowed-to-authenticate-to とともに 使用することはできない。

--computer-allowed-to-authenticate-to-by-silo=SILO

コンピュータアカウント(たとえば server または workstation)は、指定された SILO に 割り当てられ、そのメンバーシップを付与 された(その認証条件を満たす)他の アカウントによってのみアクセスが許可される。

この属性は、SDDLを手書きする必要性を回避し、 --computer-allowed-to-authenticate-to とともに 使用することはできない。

domain auth policy modify

ドメイン上の認証ポリシを変更する。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

認証ポリシの名前(必須)。

--description

認証ポリシに対するオプションの説明。

--protect

誤操作による削除から認証ポリシを保護する。

--unprotect と共には使えない。

--unprotect

誤操作による削除から認証ポリシを保護しない。

--protect と共には使えない。

--audit

監査認証ポリシーのみ。

--enforce と共には使えない。

--enforce

認証ポリシを強制。

--audit と共には使えない。

--strong-ntlm-policy

強力な NTLM ポリシ (無効、オプション、必須)。

--user-tgt-lifetime

ユーザアカウントの Ticket-Granting-Ticket 生存時間。

--user-allow-ntlm-auth

ユーザーが選択したデバイスに制限されている場合、 NTLM ネットワーク認証を許可する。

--service-tgt-lifetime

サービスアカウントの Ticket-Granting-Ticket 生存時間。

--service-allow-ntlm-auth

サービスが選択したデバイスに制限されている場合、 NTLMネットワーク認証を許可する。

--computer-tgt-lifetime

コンピュータアカウントの Ticket-Granting-Ticket 生存時間。

domain auth policy delete

ドメイン上の認証ポリシを削除する。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

認証ポリシの名前(必須)。

--force

保護されていたとしても強制的に認証ポリシを削除する。

domain auth silo list

ドメイン上の認証サイロ を一覧表示する。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--json

一覧表示の代わりに JSON で認証サイロを表示する。

domain auth silo view

ドメイン上の認証サイロを表示する。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

表示すべき認証サイロの名前(必須)。

domain auth silo create

ドメン上の認証サイロを作成する。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

認証サイロの名前(必須)。

--description

認証サイロに対するオプションの説明。

--user-authentication-policy

ユーザアカウント認証ポリシ。

--service-authentication-policy

管理されたサーアビスアカウント認証ポリシ。

--computer-authentication-policy

コンピュータアカウント認証ポリシ。

--protect

誤操作による削除から認証サイロを保護する。

--unprotect と共には使えない。

--unprotect

誤操作による削除から認証サイロを保護しない。

--protect と共には使えない。

--audit

監査サイロポリシーのみ。

--enforce と共には使えない。

--enforce

サイロポリシを強制。

--audit と共には使えない。

domain auth silo modify

このドメイン上の認証サイロを修正する。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

認証サイロの名前(必須)。

--description

認証サイロに対するオプションの説明。

--user-authentication-policy

ユーザアカウント認証ポリシ。

--service-authentication-policy

管理されたサービスアカウント認証ポリシ。

--computer-authentication-policy

コンピュータアカウント認証ポリシ。

--protect

誤操作による削除から認証サイロを保護する。

--unprotect と共には使えない。

--unprotect

誤操作による削除から認証サイロを保護しない。

--protect と共には使えない。

--audit

監査サイロポリシーのみ。

--enforce と共には使えない。

--enforce

サイロポリシーを強制。

--audit と共には使えない。

domain auth silo delete

このドメイン上の認証サイロを削除。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

削除する認証サイロの名前(必須)。

--force

保護されていたとしても強制的に認証サイロを削除。

domain auth silo member grant

認証サイロにメンバアクセスを許可。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

認証サイロの名前(必須)。

--member

このサイロにアクセスを許可するメンバ(DN 又はアカウント名)。

domain auth silo member list

認証サイロ中のメンバの一覧表示。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

認証サイロの名前(必須)。

--json

一覧表示の代わりにメンバを JSON で表示。

domain auth silo member revoke

認証サイロからメンバを取り消し。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

認証サイロの名前(必須)。

--member

サイロから取り消すメンバ(DN 又はアカウント名)。

domain claim claim-type list

ドメイン上のクレームタイプの一覧表示。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--json

一覧表示の代わりにクレームタイプを JSON でメンバを表示。

domain claim claim-type view

ドメイン上の単一のクレームタイプを表示。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

表示するクレームタイプの名前(必須)。

domain claim claim-type create

このドメイン上のクレームタイプを作成。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--attribute

作成するクレームタイプの属性(必須)。

--class

クレームタイプを設定するオブジェクトクラス。

例: --class=user --class=computer

--name

オプションの表示名又は属性名を使用。

--description

オプションの説明又は from 属性を使用。

--enable

クレームタイプを有効にする。

--disable と共には使えない。

--disable

クレームタイプを無効にする。

--enable と共には使えない。

--protect

誤操作による削除からクレームタイプを保護する。

--unprotect と共には使えない。

--unprotect

誤操作による削除からクレームタイプを保護しない。

--protect と共には使えない。

domain claim claim-type modify

ドメイン上のクレームタイプを変更する。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

変更するクレームタイプの属性(必須)。

--class

クレームタイプを設定するオブジェクトクラス。

例: --class=user --class=computer

--description

クレームタイプの説明を設定。

--enable

クレームタイプを有効にする。

--disable と共には使えない。

--disable

クレームタイプを無効にする。

--enable と共には使えない。

--protect

誤操作による削除からクレームタイプを保護する。

--unprotect と共には使えない。

--unprotect

誤操作による削除からクレームタイプを保護しない。

--protect と共には使えない。

domain claim claim-type delete

ドメイン上のクレームタイプを削除

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

削除するクレームタイプの名前(必須)。

--force

保護されていたとしても強制的にクレームタイプを削除。

domain claim value-type list

ドメイン上のクレームバリュータイプを一覧表示する。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--json

一覧の代わりに JSON でクレームバリュータイプを表示。

domain claim value-type view

ドメイン上の単一のクレームバリュータイプを表示する。

-H, --URL

データベース又はターゲットサーバの LDB URL。

--name

表示するクレームバリュータイプの表示名(必須)。

domain classicupgrade [options] classic_smb_conf

旧形式(NT4 風)の Samba データベースから Samba AD DC データベースにアップグレードする。

domain dcpromo dnsdomain [DC|RODC] [options]

既存のドメインメンバーまたは NT4 PDC を AD DC に昇格(promote)する。

domain demote

ドメインコントローラーの降格(demote)を行う。

domain exportkeytab keytab [options]

ドメインの Kerberos キーを keytab ファイルにダンプする。

domain info ip_address [options]

ドメインと特定の DC についての基本情報を表示する。

domain join dnsdomain [DC|RODC|MEMBER|SUBDOMAIN] [options]

メンバーまたはバックアップドメインコントローラーのどちらかとしてドメインに参加する。

domain level show|raise options [options]

ドメインやフォレストの機能レベルの参照/上昇を行う。

domain passwordsettings show|set options [options]

パスワード設定を表示、設定する。

domain passwordsettings pso

Manage fine-grained Password 設定オブジェクト (PSOs) を管理する。

domain passwordsettings pso apply pso-name user-or-group-name [options]

ユーザまたはグループに対して、Applies a PSO のパスワードポリシーを適用する。

domain passwordsettings pso create pso-name precedence [options]

新しい Password 設定オブジェクト (PSO) を作成する。

domain passwordsettings pso delete pso-name [options]

Password 設定オブジェクト (PSO) を削除する。

domain passwordsettings pso list [options]

すべての Password 設定オブジェクト (PSOs) を表示する。

domain passwordsettings pso set pso-name [options]

Password 設定オブジェクト (PSO) を変更する。

domain passwordsettings pso show user-name [options]

Password 設定オブジェクト (PSO) を表示する。

domain passwordsettings pso show-user pso-name [options]

ユーザに適用されている Password 設定を表示する。

domain passwordsettings pso unapply pso-name user-or-group-name [options]

ユーザ又はグループに対して適用されなくなった PSO を更新する。

domain provision

既存のドメインメンバーまたは NT4 PDC を AD DC に昇格(promote)する。

domain trust

ドメインおよびフォレストの信頼管理を行う。

domain trust create DOMAIN options [options]

ドメインまたはフォレストの信頼関係を作成する。

domain trust modify DOMAIN options [options]

ドメインまたはフォレストの信頼関係を変更する。

domain trust delete DOMAIN options [options]

ドメインの信頼関係を削除する。

domain trust list options [options]

ドメイン信頼関係の一覧を表示する。

domain trust namespaces [DOMAIN] options [options]

フォレスト信頼関係名前空間を管理する。

domain trust show DOMAIN options [options]

信頼されているドメインの詳細情報を表示する。

domain trust validate DOMAIN options [options]

ドメイン信頼関係を検査する。

drs

ディレクトリ複製サービス(Directory Replication Services; DRS)を管理する。

drs bind

サーバーの DRS 性能を表示する。

drs kcc

knowledge consistency checker(kcc)を起動する。

drs options

ドメインコントローラーの NTDS Settings オブジェクトに対して options を問い合わせまたは変更する。

drs replicate destination_DC source_DC NC [options]

2 つの DC 間で名前付けコンテキスト(naming context)を複製する。

drs showrepl

複製ステータスを表示する。[--json] オプションは、JSON 形式で結果を返し、 [--summary] オプションは、レプリケーションのステータスが問題無い場合には、 非常に小さな出力を生成する。

dsacl

DS ACL を管理する。

dsacl delete

ディレクトリオブジェクト上のアクセスリストエントリを削除する。

dsacl get

ディレクトリオブジェクト上のアクセスリストを表示する。

dsacl set

ディレクトリオブジェクト上のアクセスリストを変更する。.

dsacl set

ディレクトリオブジェクトのアクセスリストを修正する。

forest

フォレストの構成を管理する。

forest directory_service

フォレストの、directory_service の振る舞いを管理する。

forest directory_service dsheuristics VALUE

フォレストの、 dsheuristics directory_service の構成を変更する。

forest directory_service show

フォレストの、現在の directory_service 構成を表示する。

fsmo

Flexible Single Master Operations(FSMO)を管理する。

fsmo seize [options]

ロール(role)を取得する。

fsmo show

ロールを表示する。

fsmo transfer [options]

ロールを移動する。

gpo

グループポリシーオブジェクト(Group Policy Object; GPO)を管理する。

gpo create displayname [options]

空の GPO を作成する。

gpo del gpo [options]

GPO を削除する。

gpo dellink container_dn gpo [options]

コンテナーから GPO リンクを削除する。

gpo fetch gpo [options]

GPO をダウンロードする。

gpo getinheritance container_dn [options]

コンテナーの継承フラグ(inheritance flag)を取得する。

gpo getlink container_dn [options]

コンテナーにおける GPO リンクを一覧表示する。

gpo list username [options]

アカウントにおける GPO を一覧表示する。

gpo listall

すべての GPO を一覧表示する。

gpo listcontainers gpo [options]

GPO に対してリンクされたコンテナーを一覧表示する。

gpo setinheritance container_dn block|inherit [options]

コンテナーに対して継承フラグを設定する。

gpo setlink container_dn gpo [options]

コンテナーに対して GPO を追加または更新する。

gpo show gpo [options]

GPO に対する情報を表示する。

gpo manage symlink list

sysvol から、VGP シンボリックリンクグループポリシー一覧を表示する

gpo manage symlink add

sysvol に、VGP シンボリックリンクグループポリシーを追加する

gpo manage symlink remove

sysvol から、VGP シンボリックリンクグループポリシーを削除するl

gpo manage files list

sysvol から VGP ファイルグループポリシー一覧を表示する

gpo manage files add

sysvol に GP ファイルグループポリシーを追加する

gpo manage files remove

sysvol から VGP ファイルグループポリシーを削除する

gpo manage openssh list

sysvol から VGP OpenSSH グループポリシー一覧を表示する

gpo manage openssh set

sysvol に VGP OpenSSH グループポリシーを設定する

gpo manage sudoers add

sysvol に VGP OpenSSH グループポリシーを追加する。

gpo manage sudoers list

sysvol から Samba Sudoers グループポリシー一覧を表示する。

gpo manage sudoers remove

sysvol から、Samba Sudoers グループポリシーを削除する。

gpo manage scripts startup list

sysvol から VGP スタートアップグループポリシー一覧を表示する

gpo manage scripts startup add

sysvol に VGP スタートアップグループポリシーを追加する

gpo manage scripts startup remove

sysvol から VGP スタートアップグループポリシーを削除する

gpo manage motd list

sysvol から VGP MOTD グループポリシー一覧を表示する。

gpo manage motd set

sysvol に VGP MOTD グループポリシーを設定する

gpo manage issue list

sysvol から VGP Issue グループポリシー一覧を表示する。

gpo manage issue set

sysvol に VGP Issue グループポリシーを設定する

gpo manage access add

sysvol に VGP Host Access グループポリシーを追加する

gpo manage access list

sysvol から VGP Host Access グループポリシー一覧を表示する

gpo manage access remove

sysvol から VGP Host Access グループポリシーを削除する

group

グループを管理する。

group add groupname [options]

新しい AD グループを作成する。

group create groupname [options]

新しい AD group を追加する。これは samba-tool group add コマンドの別名であり、 互換のためのみで提供されている。代わりに、 samba-tool group add を使って欲しい。

group addmembers groupname members [options]

AD グループにメンバーを追加する。

group delete groupname [options]

AD グループを削除する。

group edit groupname

グループ AD オブジェクトを編集する。

--editor=EDITOR

システムの既定値の代わりにエディタを指定するか、システムの既定値が設定されていない 場合は 'vi' を使う。

group list

すべてのグループを一覧表示する。

group listmembers groupname [options]

指定された AD グループのメンバーを一覧表示する。

既定では、sAMAccountNames は一覧表示される。sAMAccountName が 1つもなければ、代わりに CN が使われる。

--full-dn

sAMAccountNames の代わりに distinguished names を一覧表示する。

--hide-expired

満了した group members を一覧表示しない。

--hide-disabled

無効の disabled group members を表示しない。

group move groupname new_parent_dn [options]

このコマンドは、グループを、指定された organizational unit か コンテナ中に移動する。

このコマンドで指定されたグループ名は sAMAccountName である。

organizational unit 又は container の名前は 完全な DN かドメインDNコンポーネントなしで指定できる。

group removemembers groupname members [options]

指定された AD グループからメンバーを削除する。

group show groupname [options]

グループオブジェクトとその属性を表示する。

group stats [options]

グループ全体とグループメンバの統計を表示する。

group rename groupname [options]

グループと関連する属性を改名する。

このコマンドはグループ名に関連する属性の設定を許可する。 グループの CN は自動的に改名される。 グループの CN は sAMAccountName になる。 新しい CN を手動で設定する場合は --force-new-cn を、この変更をリセットする場合は、 --reset-cn オプションを使用する。

指定された属性を削除する場合は、空の属性値を使用する。

コマンド上で groupname を指定する場合は sAMAccountName である。

--force-new-cn=NEW_CN

sAMAccountName を使う代わりに 新しい CN (RDN) を指定する。

--reset-cn

sAMAccountName で CN を設定する。

--mail-address=MAIL_ADDRESS

新しい email address。

--samaccountname=SAMACCOUNTNAME

新しい account name (sAMAccountName/logon name)

ldapcmp URL1 URL2 domain|configuration|schema|dnsdomain|dnsforest [options]

2 つの LDAP データベースを比較する。

ntacl

NT ACL を管理する。

ntacl changedomsid original-domain-SID new-domain-SID file [options]

ACL のドメイン SID を変更する。 マシンの SID が間違って変更されたときや、バックアップ/リストアあるいは rsyncで データセットが他のマシンにコピーされた時などに、acl_xattr 中のすべてのエントリを 変更するのに使える。.

--use-ntvfs

TDB や xattr に対して ACL を直接設定する。POSIX パーミッションは 変更されず、NT ACL のみ格納される。

--service=SERVICE

使用する smb.conf サービスの名前を指定する。このオプションは --use-s3fs オプションと同時に使用する。

--use-s3fs

VFS レイヤ経由で 既定の s3fs ファイルサーバで使用するACLを設定する。 このオプションは --service=SERVICE オプションで指定する smb.conf serviceと 同時に使用する。

--xattr-backend=[native|tdb]

xattr バックエンドタイプを指定する(ネイティブな fs または tdb)。

--eadb-file=EADB_FILE

属性が格納されている tdb ファイルの名前。

--recursive

ディレクトリとその配下に対して ACL を設定する。

--follow-symlinks

--recursive が指定されたときに、シンボリックリンクもたどる。

--verbose

処理されたファイルと ACL の一覧を表示する。

ntacl get file [options]

ファイルの ACL を表示する。

ntacl set acl file [options]

ファイルに ACL を設定する。

ntacl sysvolcheck

sysvol ACL がデフォルトであるかどうかを検査する。(GPO 上の適正な ACL を含む)

ntacl sysvolreset

sysvol ACL をリセットしてデフォルトにする。(GPO 上の適正な ACL を含む)

ou

organizational unit (OU) の管理

ou add ou_dn [options]

organizational unit を追加する。

organizational unit の名前は完全なDNか ドメインDNコンポーネントなしで指定できる。

--description=DESCRIPTION

OU の説明を指定する。

ou create ou_dn [options]

新しい organizational unit を作成する。これは samba-tool ou add コマンドの別名であり、 互換のためにのみある。代わりに samba-tool ou add を使って欲しい。

ou delete ou_dn [options]

organizational unitを削除する。

organizational unit の名前は、完全なDNか、 ドメインDNコンポーネントなしで指定できる。

--force-subtree-delete

organizational unit とその配下すべてを再帰的に削除する。

ou list [options]

すべての organizational units を表示する。

--full-dn

base DN を含めて DN を表示する。

ou listobjects ou_dn [options]

organizational unit 中のすべてのオブジェクトを表示する。

organizational unit の名前は、完全なDNか、 ドメインDNコンポーネントなしで指定できる。

--full-dn

base DN を含めて DN を表示する。

-r|--recursive

オブジェクトを再帰的に表示する。

ou move old_ou_dn new_parent_dn [options]

organizational unit を移動する。

organizational units の名前は、完全なDNか、 ドメインDNコンポーネントなしで指定できる。

ou rename old_ou_dn new_ou_dn [options]

organizational unit の名前を変更する。

organizational units の名前は、完全なDNか、 ドメインDNコンポーネントなしで指定できる。

rodc

読み取り専用ドメインコントローラー(Read-Only Domain Controller; RODC)を管理する。

rodc preload SID|DN|accountname [options]

RODC における 1 つのアカウントを事前ロードする。

schema

スキーマの管理と問合せ。

schema attribute modify attribute [options]

スキーマ中の属性の動作を変更。

schema attribute show attribute [options]

属性スキーマ定義の表示。

schema attribute show_oc attribute [options]

この属性に含まれる MAY または MUST なオブジェクトクラスを表示。

schema objectclass show objectclass [options]

オブジェクトクラススキーマ定義の表示。

shell

対話的な Samba Python シェルを開く。

shell [options]

Samba ldb 接続用に対話的な Python シェルを開く。

-H, --URL

データベースまたはターゲットサーバの LDB URL。

sites

サイトを管理する。

sites list [options]

サイトを一覧表示する。

--json

一覧表示の代わりに JSON で出力

sites create site [options]

新しいサイトを作成する。

sites remove site [options]

存在するサイトを削除する。

sites subnet list site [options]

サイトのサブネットを一覧表示する。

--json

一覧表示の代わりに JSON で出力

sites subnet view subnet [options]

サブネットの詳細を表示する。

sites subnet create subnet site-of-subnet [options]

新しいサブネットを作成する。

sites subnet remove subnet [options]

既存のサブネットを削除する。

sites subnet set-site subnet site-of-subnet [options]

サブネットをサイトに割り当てる。

spn

サービスプリンシパル名(Service Principal Names; SPN)を管理する。

spn add name user [options]

新しい SPN を作成する。

spn delete name [user] [options]

存在する SPN を削除する。

spn list user [options]

指定されたユーザーの SPN を一覧表示する。

testparm

設定ファイルの文法を検査する。

time

サーバー上の時刻を調べる。

user

ユーザーを管理する。

user add username [password]

新しいユーザーを AD ドメインに追加する。

user create username [password]

新しいユーザを追加する。これはsamba-tool user add コマンドの別名であり、互換のためのみにある。代わりに、 samba-tool user add を使って欲しい。

user delete username [options]

存在するユーザーアカウントを削除する。

user disable username

ユーザーアカウントを無効にする。

user edit username

ユーザアカウント AD オブジェクトを編集する。

--editor=EDITOR

システムの既定値の代わりにエディタを指定するか、システムの既定値が設定されていない 場合は 'vi' を使う。

user enable username

ユーザーアカウントを有効にする。

user list

ユーザ一覧を表示する。

既定では、ユーザの sAMAccountNames が表示される。

--full-dn

ユーザの distinguished names を sAMAccountNames の代わりに表示する。

-b BASE_DN|--base-dn=BASE_DN

base DN を指定する。指定された base DN 配下のもののみ表示される。

--hide-expired

満了したユーザアカウントを表示しなう。

--hide-disabled

無効のユーザアカウントを表示しない。

user list

すべてのユーザーを一覧表示する。

user setprimarygroup username primarygroupname

ユーザアカウントのプライマリグループを設定する。

user getgroups username

ユーザアカウントのダイレクトグループを取得する。

user show username [options]

ユーザの AD オブジェクトを表示する。

--attributes=USER_ATTRS

表示可能な、コンマで分離された属性の一覧。

user move username new_parent_dn [options]

このコマンドは、ユーザアカウントを指定された organizational unit 又はコンテナに移動する。

コマンドラインで指定された username は sAMAccountName である。

organizational unit 又は コンテナ の名前は 完全な DN または domainDN コンポーネントなしで指定できる。

user password [options]

ユーザーアカウントのパスワードを変更する(認証されたものに限る)。

user rename username [options]

ユーザと関連する属性を改名する。

このコマンドはユーザの名前に関連する属性の設定を許可する。ユーザの CN は自動的に改名される。 ユーザの新しい CN は、given-name, initials と surname を組み合わせることで 作成される。ドット ('.') は、必要であれば自動的に initials に追加される。 新しい CN を手動で指定する際には --force-new-cn を、この変更をリセットする 場合は、--reset-cn オプションを使用する。

指定された属性を削除するには、空の属性値を使用する。

コマンド上で username の指定は sAMAccountName である。

--surname=SURNAME

新しい surname

--given-name=GIVEN_NAME

新しい given name

--initials=INITIALS

新しい initials

--force-new-cn=NEW_CN

Specify 新しい CN (RDN) を given name, initials と surname の 組み合わせを使う代わりに指定する。

--reset-cn

既定の given name, initials と surname の組み合わせを CN に設定する。

--display-name=DISPLAY_NAME

新しい display name

--mail-address=MAIL_ADDRESS

新しい email address

--samaccountname=SAMACCOUNTNAME

新しい account name (sAMAccountName/logon name)

--upn=UPN

新しい user principal name

user setexpiry username [options]

ユーザーアカウントの満了日を設定する。

user unlock username [options]

このコマンドは AD ドメイン中のユーザアカウントをアンロックする。

user setpassword username [options]

ユーザーアカウントのパスワードを設定または初期化する。

user getpassword username [options]

ユーザアカウントのパスワードを取得する。

user get-kerberos-ticket username [options]

アカウントとして Kerberos Ticket Granting Ticket を取得する。

user syncpasswords --cache-ldb-initialize [options]

オプションのスクリプトを試用してすべてのユーザーアカウントのパスワードを同期する。

このコマンドは、単一のドメインコントローラー上でのみ動かすこと(通常は PDC エミュレーター)。

user auth policy assign username [options]

ユーザに対して割り当てられた認証ポリシを設定する。

--policy

割り当てる認証ポリシの名前あるいは削除する場合は空のまま。

user auth policy remove username

ユーザから割り当てられた認証ポリシを取り去る。

user auth policy view username

ユーザに割り当てられた認証ポリシを表示。

user auth silo assign username [options]

ユーザに対して割り当てられた認証サイロを設定する。

--silo

割り当てる認証サイロの名前あるいは削除する場合は空のまま。

user auth silo remove username

ユーザから割り当てられた認証サイロを取り去る。

user auth silo view username

ユーザに割り当てられた認証サイロを表示。

vampire [options] domain

リモートの AD ドメインに参加し、ローカルサーバーへ同期する。 samba-tool vampire は古い形式であることに注意。 代わりに samba-tool domain join を使うこと。

visualize [options] subcommand

Samba のネットワーク状態をグラフィカルに表示する。 レプリケーショングラフで何が起こっているかを知るには、可視化を使うことが 役に立つ場合がある。

これには2つのサブコマンド、2つのグラフィックモード、(大まかに言って) 権限の位置に関する2つの操作モードがある。

操作モード

samba-tool visualize ntdsconn

NTDS 接続を探す。

samba-tool visualize reps

repsTo と repsFrom オブジェクトを探す。

samba-tool visualize uptodateness

uptodateness ベクタとして表示されているような、 レプリケーションの遅延を探す。

グラフィカルモード

--distance

ターミナル中に、マトリクス形式で、DC間の 距離を表示する。

--dot

Graphviz dot 形式のファイルを出力する(ntdsconn と reps モード用)。 dot または xdot を用いることによって、ネットワークをグラフ化 して参照することができる。その際には、DC が頂点として、また ネットワーク接続が辺によって表現される。特定のネットワーク 接続は、異なった色や線のスタイルによって表現される。

--xdot

[--dot] と同じように dot を出力し、さらに、/usr/bin/xdot を使って すぐに結果を表示する。

-r

通常samba-tool は1つの データベースを使う; [-r] オプションを指定すると、 最初のデータベースが知っている、すべてのDCに対して接続を試みる。 これは、samba-tool visualize uptodateness と、 repsFrom/To オブジェクトが複製(レプリケーション)されないため、 samba-tool visualize reps から 賢明な結果を得るために必要である。また、これにより、 他のモードにおけるレプリケーションの問題を明確にすることができる。

ヘルプ

使用方法を提示する。

バージョン

このマニュアルページは Samba バージョン 4.20.4 用である。

著者

オリジナルの Samba ソフトウェアと関連するユーティリティは、 Andrew Tridgell によって作成された。現在 Samba は Samba Team によって、 Linux カーネルの開発と同様のオープンソースプロジェクトとして開発が 行なわれている。

日本語訳

このマニュアルページは Samba 4.20.1 - 4.20.4 に対応する。

Samba 4.0.0 - 4.20.4 対応の翻訳は、

  • 太田俊哉(ribbon@samba.gr.jp)

  • matsuand(michio_matsuyama@yahoo.co.jp)

によって行われた。