この記事から学べること:
アクティブディレクトリは、組織がリソースを整理するために使用できるディレクトリサービスです。アクティブディレクトリネットワークは、アクティブディレクトリオブジェクトと呼ばれる要素で構成されています。これらのオブジェクトは、ネットワークの一部であるリソースを表しています。オブジェクトには、ユーザー、コンピューター、プリンターなど、いくつかの種類があります。本記事では、アクティブディレクトリユーザーオブジェクトが何であるか、そのプロパティ、そしてユーザーオブジェクトの作成、変更、削除方法について見ていきます。
アクティブディレクトリユーザーオブジェクトとは何か?
アクティブディレクトリユーザーオブジェクト、またはADユーザーオブジェクトは、組織のアクティブディレクトリ(AD)ネットワークに属する実際のユーザーを表します。これはリーフオブジェクトであり、他のADオブジェクトを内包することはできません。ユーザーは、組織の従業員(例えば、マネージャー、人事担当者、または通常は他のユーザーより高い権限を持つIT管理者)であるかもしれません。ユーザーオブジェクトはセキュリティプリンシパルであり、つまりセキュリティ識別子(SID)を持つほか、グローバル一意識別子(GUID)も持っています。AD内のユーザーオブジェクトには、正規名、名、中間名、姓、ログイン認証情報、電話番号、上司、住所、部下などの情報を含む属性があります。
ネットワークへのユーザー追加は、アクティブディレクトリユーザーとコンピューター(ADUC)コンソールを使用して行うことができます。例えば、ジョシュアは組織の新入社員であり、管理者は彼に組織のさまざまなリソースへのアクセスを提供する必要があります。管理者がすべきことは、アクティブディレクトリユーザーとコンピューターコンソールを通じてユーザーオブジェクトを作成し、その後、ジョシュアを表すユーザーオブジェクトにアクセス権限を割り当てることです。管理者がユーザーオブジェクトに割り当てる権限に応じて、ジョシュアは彼に必要なリソースへのアクセスを取得します。
ADユーザーオブジェクトの必須属性
すべてのオブジェクトには、必須とオプションの属性セットがあります。オブジェクトの作成に成功するためには、必須属性の値が必要であり、空であってはなりません。例えば、ユーザーオブジェクトの必須属性は以下の通りです:
- cn:ADネットワーク内でこのオブジェクトを一意に識別するために使用されるユーザーオブジェクトの識別名です。
- ObjectCategory:これは、このユーザーオブジェクトが属するオブジェクトクラスか、またはそのスーパークラスのいずれかの識別名を含む単一値プロパティです。
- Objectclass:このユーザーオブジェクトが属するオブジェクトクラスの識別名です。
- sAMAccountName:オブジェクトのWindows 2000以前のログオン名です。これは、ネットワーク内でこのユーザーオブジェクトを一意に識別するために使用される命名属性でもあります。
これらの属性はドメイン全体で一意であり、ドメイン全体でオブジェクトを一意に識別するために使用されます。
ユーザーオブジェクトの必須属性を表示する方法は?
- スタート -> 管理ツールに移動し、Active Directory ユーザーとコンピューターをクリックします。ADUCコンソールが開きます。
- コンソールツリーを展開し、必須プロパティを表示したいユーザーオブジェクトを右クリックします。
- ポップアップメニューから、プロパティをクリックします。
- ユーザーオブジェクトのプロパティを表示するダイアログボックスが表示されます。属性エディタータブを選択します。
- 属性エディタータブでフィルターボタンをクリックします。属性タイプのリストが含まれるサブメニューがポップアップします。
- メニューから「必須」を選択します。
- ユーザーオブジェクトの必須属性が表示されます。
また、telephoneNumber、Managerなど、オプショナルな属性もあります。これらの属性は、ユーザーオブジェクトが参照するユーザーに関する追加情報を提供するために使用されます。これらのオプショナル属性がなくてもADユーザーオブジェクトは作成できます。
AD ユーザーオブジェクトを作成する方法は?
- スタート -> 管理ツールに移動し、「Active Directory ユーザーとコンピューター」をクリックします。ADUC コンソールが開きます。
- コンソールツリー上で右クリックします。
- ポップアップメニューから「新規」オプションを選択します。
- メニューで表示されるオブジェクトのリストから「ユーザー」を選択します。オブジェクト作成ウィザードが表示されます。
- ウィザードウィンドウで、ユーザーオブジェクトのさまざまな属性の値を入力し、「次へ」をクリックします。
- 作成ウィザードの次のページで、ユーザーアカウントのパスワードを入力します。このセクションでは、ユーザーオブジェクトのパスワードポリシーを設定するための規定も与えられます。
- パスワードを設定し、パスワードポリシーを構成したら、「完了」をクリックします。
新しいADユーザーオブジェクトが作成され、それはそれぞれのコンテナ内のADUCコンソールツリーで見つけることができます。
ADユーザーオブジェクトを変更するには?
AD内のユーザーオブジェクトを変更するには、以下の手順を実行します:
- スタート -> 管理ツールに移動し、Active Directoryユーザーとコンピュータをクリックします。ADUCコンソールが開きます。
- コンソールツリーを展開し、変更したいユーザーオブジェクトを右クリックします。
- ポップアップするメニューからプロパティをクリックします。
- 様々なプロパティを表示するダイアログボックスが現れます。
- 利用可能なタブをナビゲートし、必要な変更を行います。
- 完了したら、適用をクリックし、OKをクリックします。
- 変更はプロパティタブで反映されます。
ADユーザーオブジェクトの削除方法
ADでユーザーオブジェクトを削除するには、以下の手順を実行します:
- スタート -> 管理ツールに移動し、Active Directory ユーザーとコンピュータをクリックします。ADUCコンソールが開きます。
- コンソールツリーを展開し、削除したいユーザーオブジェクトを右クリックします。
- ポップアップするサブメニューから、[削除]をクリックします。
- 削除を確認するため[はい]をクリックします。
- AD ユーザーオブジェクトはネットワークから削除され、コンソールツリーには表示されなくなります。
ADユーザーオブジェクトのプロパティ
ADユーザーオブジェクトとその様々な属性をよりよく理解するためには、ユーザーオブジェクトのプロパティダイアログボックスを探索できます。ユーザーオブジェクトのプロパティダイアログボックスを開くには、以下の手順に従ってください:
- スタート -> 管理ツールに移動し、Active Directory ユーザーとコンピュータをクリックします。ADUCコンソールが開きます。
- コンソールツリーを展開し、変更したいユーザーオブジェクトを右クリックします。
- ポップアップするメニューから、[プロパティ]をクリックします。
各属性は共通点に基づいて異なるタブの下に分類されています。いくつかのタブを見てみましょう。
[一般] タブ
ユーザのプロパティウィンドウの [一般] タブでは、ユーザーの基本的な詳細情報(名前や連絡先情報など)を設定できます。名前用のフィールドの値は、必須属性 cn に対する値を形成するため非常に重要です。(3つの名前フィールドの値の組み合わせが、cn の値を形成します。)
|
ラベル |
LDAP名 |
例 |
|
名 |
givenName |
イザベラ |
|
姓 |
Surname |
スワン |
|
表示名 |
displayName |
イイザベラ.e.スワン |
|
イニシャル |
initials |
E |
|
説明 |
description |
一時的 |
|
事務所 |
physicalDeliveryOfficeName |
シマンテック |
|
電話番号 |
telephoneNumber |
9159917893 |
|
その他(他の電話番号) |
OtherTelephone |
9994327893 |
|
メール |
|
ベラ |
|
ウェブページ |
wWWHomePage |
Bellabingo.com |
|
その他(他のウェブページ) |
url |
Bellaeswanblog.com |
住所タブ
ユーザー属性ウィンドウの住所タブでは、連絡先情報としてユーザーの物理的な位置を記述する属性を設定できます。
|
ラベル |
LDAP名 |
例 |
|
通り |
streetAddress |
パークストリート |
|
郵便受け |
postOfficeBox |
1234 |
|
市 |
L |
ルイビル |
|
州/地域 |
st |
ケンタッキー |
|
郵便/郵便番号 |
postalCode |
1240 |
|
国/地域 |
co |
インド |
|
国/地域 |
c |
アメリカ合衆国 |
組織タブ
ユーザー属性ウィンドウの組織タブでは、会社、部署、役職、上司、部下など、組織固有のユーザー詳細を追加することができます。
|
ラベル |
LDAP |
名 例 |
|
役職 |
title |
ビジネスアナリスト |
|
部署 |
department |
departmentX |
|
企業 |
company |
companyY |
|
直属の上司 (名前) |
manager |
AdvUser-1 |
|
直接の部下 |
directReports |
Leena |
ユーザープロファイルタブ
ユーザープロパティウィンドウのプロファイルタブでは、ユーザーオブジェクトのユーザープロファイル、ログオンスクリプト、ホームフォルダの詳細を設定できます。これは、ユーザーがどのマシンからログインしても同じ環境とデータにアクセスできるようにする場合に有効です。ここではいくつかの属性について見ていきましょう。
ユーザープロファイル:ユーザープロファイルには、ユーザー固有の環境設定、ドキュメント、音楽、その他のデータが含まれています。プロファイルはサーバーに保存され、ユーザーはどこからでもアクセスできます。
ログオンスクリプト:これらのスクリプトを使用して、ユーザーがログオンした際に実行されるタスクを設定できます。これらのスクリプトを用いることで、ネットワークドライブの割り当て、ユーザーのデフォルトプリンターの設置と設定、ウイルス定義の更新、ソフトウェアの更新など、様々なタスクを実行可能です。
ホームフォルダ:ホームフォルダはプロファイルと似ており、そのデータはどこからでもアクセス可能です。違いとしては、ホームフォルダは作業環境やカスタマイズを含まず、どこからでもアクセス可能な共有フォルダであるという点です。通常、ローカルマシンに十分なディスクスペースがない場合に使用されます。
|
ラベル |
LDAP名 |
例 |
|
プロファイル パス(ユーザー プロファイル) |
profilePath |
\\sushma-root.com\roamingProfiles\roaminguser2 |
|
ログオン スクリプト(ユーザー プロファイル) |
scriptPath |
Eb.bat |
|
ローカル パス(ホーム フォルダー) |
homeDirectory |
sushma-temp\Homefolder\Roaminguser2 |
|
接続(ホーム フォルダー) |
homeDrive |
Z: |
|
対象 (ホーム フォルダー) |
homeDirectory |
\\sushma-temp\Homefolder\Roaminguser2 |
セッションタブ
ユーザーのプロパティウィンドウのセッションタブでは、ユーザーのタイムアウト設定や再接続設定を構成することができます。
切断されたセッションを終了する – 切断されたセッションがいつ終了するかの時間を設定できます。
アクティブセッションの制限 – アクティブセッションがいつ終了するかの時間を設定できます。
非アクティブセッションの制限 – 非アクティブセッションがいつ終了するかの時間を設定できます。
セッションからの切断 – このオプションを選択すると、セッションの制限に達したときにセッションは切断されます。
セッションを終了する – このオプションを選択すると、セッションの制限に達したときにセッションは終了します。
再接続を許可する – このセクションでは、ユーザーのセッションの再接続設定を構成することができます。
任意のクライアントから – このオプションを選択すると、ユーザーは任意のクライアントからセッションに再接続できます。
発信クライアントのみから – このオプションを選択すると、ユーザーは最初に使用したクライアントからのみセッションに再接続できます。
注: セッションからの切断は、サーバーとの接続を落とすことを意味し、ログオフはしません。一方、セッションを終了することは接続を落とし、ログオフすることを意味します。
このタブに関連する値は、userParametersというLDAP属性に格納されています。
アカウントタブ
ユーザープロパティウィンドウのアカウントタブでは、ログオン時の名前、ネットワーク内でログオンできるマシン、平日や時間に基づくアカウントアクセスの期間、パスワード設定、アカウントの有効期限など、ユーザーアカウント固有の詳細を設定できます。
アカウントタブの名前フィールド(ユーザーログオン名、プレウィンドウズ2000名)は、ユーザー認証の一部として非常に重要です。また、ネットワークリソースやアカウント自体のセキュリティを確保するために、アカウントオプションも慎重に設定する必要があります。
|
ラベル |
LDAP名 |
例 |
|
ユーザーログオン名 |
userPrincipalName |
Bella |
|
ユーザーログオン名(プレウィンドウズ2000) |
SAMAccountName |
Bella |
|
ログオン時間 |
logonHours |
月曜日から金曜日まで朝9時から午後5時 |
|
ログオン対象 |
logonWorkStation |
すべてのコンピュータ |
|
アカウントのロック解除 |
lockoutTime(アカウントがロックされた時刻を示す) |
未チェック |
|
アカウントオプション |
userAccountControl |
次回ログオン時にパスワードを変更する必要があります |
|
アカウントの有効期限 |
accountExpires |
永久に |
メンバー オブ タブ
ユーザーが所属するグループの名前は、ユーザー プロパティ ウィンドウのメンバー オブ タブで確認できます(このタブを使用して、ユーザーを新しいグループに追加したり、所属しているグループから削除することもできます)。
値(またはグループ名)は、memberOfと呼ばれる多値のLDAP属性に保存されます。
注: 必要に応じて、このタブを使用してユーザーのプライマリグループを変更することもできます。プライマリグループの名前はmemberOf属性に表示されません。プライマリグループのSIDは、primaryGroupIDと呼ばれる属性に別途表示されます。
セキュリティ タブ
コンピュータ プロパティ ウィンドウのセキュリティ タブでは、ユーザー オブジェクトに対するアクセス許可を設定できます。セキュリティ タブでは、他のグループやユーザーがユーザー オブジェクトに対して許可または拒否する権限を付与できます。
- 「グループまたはユーザー名」セクションでは、許可または拒否する権限を付与したいグループまたはユーザーを選択できます。
- 「権限」セクションのチェックボックスを使用して、他のユーザーやグループがユーザー オブジェクトに対して持つ権限を設定(許可または拒否)できます。
詳細設定ボタン
詳細設定タブをクリックすると、以下のタブがある別のウィンドウが開きます:
- 権限 – このタブを使用すると、継承によって割り当てられたその他の権限を確認し、オブジェクトの権限のうちどれが継承可能かを確認できます。このタブでは、権限を追加したり、既存の権限を編集することもできます。
- 監査 – このタブを使用すると、監査されるオブジェクトアクセスの種類を表示および設定できます。
- 所有者 – このタブを使用すると、ユーザー オブジェクトに対する所有権を表示および設定できます。
- 有効な権限 – このタブには、権限のリストが表示されます。各権限の左側には、効力があるかどうかを示すチェックボックスがあります。
Active Directory ユーザー オブジェクトのベスト プラクティス
- Active Directory ユーザーおよびコンピューターを使用してオブジェクトのプロパティ シートを表示する場合、通常はActive Directoryの権限が表示される「セキュリティ」タブは表示されません。このタブを表示するには、表示メニューから「詳細機能」を選択します。
- Windows 2000以外で動作するコンピューターに共有フォルダーやプリンターなどのリソースがある場合、それらをActive Directoryを介してユーザーが検出およびアクセスできるようにするには、それらのリソースに関する情報をActive Directoryに手動で公開する必要があります。これを行うには、そのリソースの適切なタイプのオブジェクトをActive Directoryに追加し、ネットワーク上のリソースの位置を指し示します。
- 新しいActive Directoryオブジェクトを作成する場合、通常はウィザードを使用してオブジェクトの重要な属性の値を指定します。オブジェクトの作成後、そのオブジェクトのプロパティ シートを開いて他の属性を指定することができます。