Windows2003Server上で稼動しているActiveDirectoryに、コマンドラインからユーザを追加する仕事で悪戦苦闘。なんとか調べながらできたので、覚えてる限りでノウハウをメモ。

• データを追加する場合は、objectClassという属性が必須
• パスワードを登録するには、LDIFDEコマンドを実行するマシンとActiveDirectoryサーバの間で、LDAPSが必要（なので、証明書のインポートがいる）
• パスワードはダブルクォートで括ったものを、UTF16LEに変換し、さらにBase64に変換する
• パスワード（Base64で変換したもの）の属性名は unicodePwd::（←コロン２つ）とする

LDAPSを有効にするには、

• （エンタープライズCAで）証明書サービスのインストール
• ルート証明機関としての証明書の発行
• 証明書をドメインコントローラ用にエクスポート