サイトアイコン Windows Active Directory

アクティブディレクトリーユーザーオブジェクト:紹介

この記事から学べること:

アクティブディレクトリは、組織がリソースを整理するために使用できるディレクトリサービスです。アクティブディレクトリネットワークは、アクティブディレクトリオブジェクトと呼ばれる要素で構成されています。これらのオブジェクトは、ネットワークの一部であるリソースを表しています。オブジェクトには、ユーザー、コンピューター、プリンターなど、いくつかの種類があります。本記事では、アクティブディレクトリユーザーオブジェクトが何であるか、そのプロパティ、そしてユーザーオブジェクトの作成、変更、削除方法について見ていきます。

アクティブディレクトリユーザーオブジェクトとは何か?

アクティブディレクトリユーザーオブジェクト、またはADユーザーオブジェクトは、組織のアクティブディレクトリ(AD)ネットワークに属する実際のユーザーを表します。これはリーフオブジェクトであり、他のADオブジェクトを内包することはできません。ユーザーは、組織の従業員(例えば、マネージャー、人事担当者、または通常は他のユーザーより高い権限を持つIT管理者)であるかもしれません。ユーザーオブジェクトはセキュリティプリンシパルであり、つまりセキュリティ識別子(SID)を持つほか、グローバル一意識別子(GUID)も持っています。AD内のユーザーオブジェクトには、正規名、名、中間名、姓、ログイン認証情報、電話番号、上司、住所、部下などの情報を含む属性があります。

ネットワークへのユーザー追加は、アクティブディレクトリユーザーとコンピューター(ADUC)コンソールを使用して行うことができます。例えば、ジョシュアは組織の新入社員であり、管理者は彼に組織のさまざまなリソースへのアクセスを提供する必要があります。管理者がすべきことは、アクティブディレクトリユーザーとコンピューターコンソールを通じてユーザーオブジェクトを作成し、その後、ジョシュアを表すユーザーオブジェクトにアクセス権限を割り当てることです。管理者がユーザーオブジェクトに割り当てる権限に応じて、ジョシュアは彼に必要なリソースへのアクセスを取得します。

ADユーザーオブジェクトの必須属性 

すべてのオブジェクトには、必須とオプションの属性セットがあります。オブジェクトの作成に成功するためには、必須属性の値が必要であり、空であってはなりません。例えば、ユーザーオブジェクトの必須属性は以下の通りです:

これらの属性はドメイン全体で一意であり、ドメイン全体でオブジェクトを一意に識別するために使用されます。

ユーザーオブジェクトの必須属性を表示する方法は?

また、telephoneNumber、Managerなど、オプショナルな属性もあります。これらの属性は、ユーザーオブジェクトが参照するユーザーに関する追加情報を提供するために使用されます。これらのオプショナル属性がなくてもADユーザーオブジェクトは作成できます。

AD ユーザーオブジェクトを作成する方法は? 

新しいADユーザーオブジェクトが作成され、それはそれぞれのコンテナ内のADUCコンソールツリーで見つけることができます。

ADユーザーオブジェクトを変更するには?

AD内のユーザーオブジェクトを変更するには、以下の手順を実行します:

ADユーザーオブジェクトの削除方法

ADでユーザーオブジェクトを削除するには、以下の手順を実行します:

ADユーザーオブジェクトのプロパティ

ADユーザーオブジェクトとその様々な属性をよりよく理解するためには、ユーザーオブジェクトのプロパティダイアログボックスを探索できます。ユーザーオブジェクトのプロパティダイアログボックスを開くには、以下の手順に従ってください:

各属性は共通点に基づいて異なるタブの下に分類されています。いくつかのタブを見てみましょう。

[一般] タブ

ユーザのプロパティウィンドウの [一般] タブでは、ユーザーの基本的な詳細情報(名前や連絡先情報など)を設定できます。名前用のフィールドの値は、必須属性 cn に対する値を形成するため非常に重要です。(3つの名前フィールドの値の組み合わせが、cn の値を形成します。) 

ラベル

LDAP名

givenName

イザベラ

Surname

スワン

表示名

displayName

イイザベラ.e.スワン

イニシャル

initials

E

説明

description

一時的

事務所

physicalDeliveryOfficeName

シマンテック

電話番号

telephoneNumber

9159917893

その他(他の電話番号)

OtherTelephone

9994327893

メール

mail

ベラ

ウェブページ

wWWHomePage

Bellabingo.com

その他(他のウェブページ)

url

Bellaeswanblog.com

住所タブ

ユーザー属性ウィンドウの住所タブでは、連絡先情報としてユーザーの物理的な位置を記述する属性を設定できます。 

ラベル

LDAP名

通り

streetAddress

パークストリート

郵便受け

postOfficeBox

1234

L

ルイビル

州/地域

st

ケンタッキー

郵便/郵便番号

postalCode

1240

国/地域

co

インド

国/地域

c

アメリカ合衆国

組織タブ

ユーザー属性ウィンドウの組織タブでは、会社、部署、役職、上司、部下など、組織固有のユーザー詳細を追加することができます。 

ラベル

LDAP

名 例

役職

title

ビジネスアナリスト

部署

department

departmentX

企業

company

companyY

直属の上司 (名前)

manager

AdvUser-1

直接の部下

directReports

Leena

ユーザープロファイルタブ

ユーザープロパティウィンドウのプロファイルタブでは、ユーザーオブジェクトのユーザープロファイル、ログオンスクリプト、ホームフォルダの詳細を設定できます。これは、ユーザーがどのマシンからログインしても同じ環境とデータにアクセスできるようにする場合に有効です。ここではいくつかの属性について見ていきましょう。

ユーザープロファイル:ユーザープロファイルには、ユーザー固有の環境設定、ドキュメント、音楽、その他のデータが含まれています。プロファイルはサーバーに保存され、ユーザーはどこからでもアクセスできます。

ログオンスクリプト:これらのスクリプトを使用して、ユーザーがログオンした際に実行されるタスクを設定できます。これらのスクリプトを用いることで、ネットワークドライブの割り当て、ユーザーのデフォルトプリンターの設置と設定、ウイルス定義の更新、ソフトウェアの更新など、様々なタスクを実行可能です。

ホームフォルダ:ホームフォルダはプロファイルと似ており、そのデータはどこからでもアクセス可能です。違いとしては、ホームフォルダは作業環境やカスタマイズを含まず、どこからでもアクセス可能な共有フォルダであるという点です。通常、ローカルマシンに十分なディスクスペースがない場合に使用されます。 

ラベル

LDAP名

プロファイル パス(ユーザー プロファイル)

profilePath

\\sushma-root.com\roamingProfiles\roaminguser2

ログオン スクリプト(ユーザー プロファイル)

scriptPath

Eb.bat

ローカル パス(ホーム フォルダー)

homeDirectory

sushma-temp\Homefolder\Roaminguser2

接続(ホーム フォルダー)

homeDrive

Z:

対象 (ホーム フォルダー)

homeDirectory

\\sushma-temp\Homefolder\Roaminguser2

 セッションタブ

ユーザーのプロパティウィンドウのセッションタブでは、ユーザーのタイムアウト設定や再接続設定を構成することができます。

切断されたセッションを終了する – 切断されたセッションがいつ終了するかの時間を設定できます。

アクティブセッションの制限 – アクティブセッションがいつ終了するかの時間を設定できます。

非アクティブセッションの制限 – 非アクティブセッションがいつ終了するかの時間を設定できます。

セッションからの切断 – このオプションを選択すると、セッションの制限に達したときにセッションは切断されます。

セッションを終了する – このオプションを選択すると、セッションの制限に達したときにセッションは終了します。

再接続を許可する – このセクションでは、ユーザーのセッションの再接続設定を構成することができます。

任意のクライアントから – このオプションを選択すると、ユーザーは任意のクライアントからセッションに再接続できます。

発信クライアントのみから – このオプションを選択すると、ユーザーは最初に使用したクライアントからのみセッションに再接続できます。

注: セッションからの切断は、サーバーとの接続を落とすことを意味し、ログオフはしません。一方、セッションを終了することは接続を落とし、ログオフすることを意味します。

このタブに関連する値は、userParametersというLDAP属性に格納されています。

アカウントタブ

ユーザープロパティウィンドウのアカウントタブでは、ログオン時の名前、ネットワーク内でログオンできるマシン、平日や時間に基づくアカウントアクセスの期間、パスワード設定、アカウントの有効期限など、ユーザーアカウント固有の詳細を設定できます。

アカウントタブの名前フィールド(ユーザーログオン名、プレウィンドウズ2000名)は、ユーザー認証の一部として非常に重要です。また、ネットワークリソースやアカウント自体のセキュリティを確保するために、アカウントオプションも慎重に設定する必要があります。 

ラベル

LDAP名

ユーザーログオン名

userPrincipalName

Bella

ユーザーログオン名(プレウィンドウズ2000)

SAMAccountName

Bella

ログオン時間

logonHours

月曜日から金曜日まで朝9時から午後5時

ログオン対象

logonWorkStation

すべてのコンピュータ

アカウントのロック解除

lockoutTime(アカウントがロックされた時刻を示す)

未チェック

アカウントオプション

userAccountControl

次回ログオン時にパスワードを変更する必要があります

アカウントの有効期限

accountExpires

永久に

 メンバー オブ タブ

ユーザーが所属するグループの名前は、ユーザー プロパティ ウィンドウのメンバー オブ タブで確認できます(このタブを使用して、ユーザーを新しいグループに追加したり、所属しているグループから削除することもできます)。

値(またはグループ名)は、memberOfと呼ばれる多値のLDAP属性に保存されます。

注: 必要に応じて、このタブを使用してユーザーのプライマリグループを変更することもできます。プライマリグループの名前はmemberOf属性に表示されません。プライマリグループのSIDは、primaryGroupIDと呼ばれる属性に別途表示されます。

セキュリティ タブ

コンピュータ プロパティ ウィンドウのセキュリティ タブでは、ユーザー オブジェクトに対するアクセス許可を設定できます。セキュリティ タブでは、他のグループやユーザーがユーザー オブジェクトに対して許可または拒否する権限を付与できます。

詳細設定ボタン

詳細設定タブをクリックすると、以下のタブがある別のウィンドウが開きます:

Active Directory ユーザー オブジェクトのベスト プラクティス

モバイルバージョンを終了