Active Directory ユーザーとコンピューターでユーザー アカウントを管理する

Active Directory ユーザーとコンピューター コンソールでは、ユーザー アカウントを含むセキュリティ プリンシパルを作成、削除、管理できます。 このコンソールは、リモート サーバー管理ツールの Active Directory Domain Services (AD DS) コンポーネントと Active Directory Lightweight Directory Services (AD LDS) コンポーネントが Windows Server またはクライアント コンピューターにインストールされている場合に使用できます。 セキュリティアクセス許可を作成、削除、管理するには、適切なアクセス許可が必要です。 既定では、Domain Admins グループと Enterprise Admins グループのメンバーは、ユーザー、グループ、およびコンピューター アカウントを管理できます。 Account Operators グループのメンバーは、ユーザー アカウントを作成、変更、削除できますが、グループやアクセス許可を管理することはできません。

前提条件

• リモート サーバー管理ツールの AD DS および AD LDS コンポーネントがインストールされている Windows Server または Windows クライアント オペレーティング システムを実行しているコンピューター。

• コンピューターはドメインに参加している必要があり、使用しているユーザー アカウントには、そのドメイン内のユーザー アカウントを管理するための適切なアクセス許可が必要です。

ユーザー アカウントの管理

この記事の次のセクションでは、サーバー上のユーザー アカウントの管理に関する情報を提供します。

• ユーザー アカウントを作成する
• グループ メンバーシップを管理する
• ユーザー パスワード をリセットする
• ユーザー アカウントを無効にする
• ユーザー アカウントを有効にする
• ユーザー アカウントを削除する
• ユーザー アカウントのプロパティ

ユーザー アカウントの作成

ユーザー アカウントを追加すると、割り当てられたユーザーはドメインに参加しているコンピューターにサインインできます。 共有フォルダー、プリンター、アプリケーションなどのネットワーク リソースにアクセスするためのアクセス許可をユーザーに付与できます。 Active Directory ユーザーとコンピューターを使用してユーザー アカウントを作成するには、次の手順に従います。

1. Active Directory ユーザーとコンピューター コンソールで、ドメイン ツリーを展開し、ユーザー アカウントをホストするコンテナーまたは組織単位を選択します。
2. [ アクション ] メニューの [ 新規 ] を選択し、[ユーザー] を選択 します。
3. [ 新しいオブジェクト - ユーザー ] ダイアログで、次の情報を入力し、[ 次へ] を選択します。
   • 名前: ユーザーの名前 (任意)
   • イニシャル: ユーザーのイニシャル (省略可能)
   • 姓: ユーザーの姓 (省略可能)
   • フル ネーム: ユーザーのフル ネーム (必須)
   • ユーザー ログオン名: ユーザー アカウント名 (必須)
4. [ 新しいオブジェクト - ユーザー ] ダイアログの 2 番目のページで、次の情報を入力し、[ 次へ] を選択します。
   • パスワード: 割り当てられたパスワードまたはユーザーが次回ログオン時に変更する一時パスワードを指定できます。
   • 確認: 割り当てられたパスワードまたは一時パスワードの複製。
   • ユーザーは次回ログオン時にパスワードを変更する必要があります。 次回ログオン時にユーザーにパスワードの変更を強制する場合は、このチェック ボックスをオンにします。
   • ユーザーはパスワードを変更できません。 ユーザーがパスワードを変更できないように制限する場合は、このチェック ボックスをオンにします。
   • パスワードの有効期限が切れることはありません。 アカウントをパスワード ポリシーから除外する場合は、このチェック ボックスをオンにします。
   • アカウントが無効になっています。 無効な状態でアカウントを作成する場合は、このチェック ボックスをオンにします。
5. [新しいオブジェクト - ユーザー] ダイアログの概要ページを確認します。 [ 完了] を 選択してアカウントを作成します。

グループ メンバーシップの管理

共有フォルダーなどのセキュリティアクセス許可は、通常、個々のユーザー アカウントではなくセキュリティ グループに割り当てられます。 ユーザーがメンバーになっているグループを管理することで、多くの場合、ユーザー アカウントがアクセスできるリソースを管理します。 アカウントのグループ メンバーシップを管理するには、次の手順を実行します。

1. [Active Directory ユーザーとコンピューター] コンソールで、メンバーシップを管理するユーザー アカウントを見つけて選択します。
2. [ アクション ] メニューの [ プロパティ] を選択します。
3. ユーザーのアカウントプロパティダイアログで、[ メンバー] タブを選択します。
4. グループからユーザー アカウントを削除する場合は、一覧表示されているグループを選択し、[ 削除] を選択し、[ OK] を 選択してユーザー アカウントのプロパティ ダイアログを閉じます。
5. ユーザー アカウントをグループに追加する場合は、[追加] を選択 します。
6. [ グループの選択 ] ダイアログで、アカウントを追加するグループの名前を入力し、[ OK] を選択します。 グループ名がわからない場合は、[ 詳細設定 ] ボタンを使用してドメインでグループを検索し、[ 名前の確認] ボタンを使用して名前を確認します。
7. [ OK] を 選択してユーザー アカウントのプロパティ ダイアログを閉じ、変更を適用します。

ユーザーのパスワードのリセット

Active Directory ユーザーとコンピューターコンソールを使用してユーザー アカウントのパスワードをリセットするには、次の手順を実行します。

1. Active Directory ユーザーとコンピューター コンソールで、パスワードをリセットするユーザー アカウントを見つけます。
2. [ 操作 ] メニューの [ パスワードのリセット] を選択します。
3. [ パスワードのリセット ] ダイアログで、次の情報を入力し、[ OK] を選択します。
   • 新しいパスワード: ユーザーの新しいパスワード。
   • パスワードの確認: 同じパスワードを再入力します。
   • ユーザーは次回ログオン時にパスワードを変更する必要があります。 次回サインインするときにユーザーにパスワードの変更を強制する場合は、このチェック ボックスをオンにします。
   • ユーザー アカウントのロックを解除します。 ユーザーが入力したパスワードが多すぎるためにアカウントがロックアウトされている場合は、このチェック ボックスをオンにしてアカウントのロックを解除します。

ユーザー アカウントを無効にする

Active Directory ユーザーとコンピューター コンソールを使用してユーザー アカウントを無効にするには、次の手順を実行します。

1. Active Directory ユーザーとコンピューター コンソールで、無効にするユーザー アカウントを見つけます。
2. [ アクション ] メニューの [ アカウントの無効化] を選択します。
3. [Active Directory Domain Services] ダイアログで、[OK] を選択します。 アカウントが無効になっています。

アカウントが無効になっている場合、サインインしているユーザーはサインインしたままですが、新しいサインインを実行できません。

ユーザー アカウントを有効にする

Active Directory ユーザーとコンピューター コンソールを使用してユーザー アカウントを有効にするには、次の手順を実行します。

1. Active Directory ユーザーとコンピューター コンソールで、有効にするユーザー アカウントを見つけます。
2. [ アクション ] メニューの [ アカウントの有効化] を選択します。
3. [Active Directory Domain Services] ダイアログで、[OK] を選択します。 アカウントが有効になっています。

ユーザー アカウントを削除する

Active Directory からアカウントを削除すると、アカウントが削除されます。 ベスト プラクティスは、アカウントが他の方法ではアクセスできないリソースに対するアクセス許可を持っている場合に備えて、アカウントを削除する前に無効にすることです。 Active Directory ユーザーとコンピューター コンソールを使用してアカウントを削除するには、次の手順を実行します。

1. Active Directory ユーザーとコンピューター コンソールで、有効にするユーザー アカウントを見つけます。
2. [ アクション ] メニューの [ 削除] を選択します。
3. [Active Directory Domain Services] ダイアログで、[OK] を選択します。 アカウントが削除されます。

アカウントを削除する前にごみ箱を有効にした場合は、Active Directory のごみ箱を使用して削除されたアカウントを回復できます。 ごみ箱が有効になっていない場合は、アカウントを含む AD DS のバックアップを使用して、AD DS の権限のある復元を実行する必要があります。

ユーザー アカウントのプロパティ

次の一覧には、[ ユーザー アカウントのプロパティ ] ページのすべてのタブが含まれています。これには、[ 高度な機能] オプションが有効になっている場合にのみ表示されるタブが含まれます。 このオプションは、Active Directory ユーザーとコンピューター コンソールの [表示 ] メニューで有効にすることができます。 この情報は、AD DS アカウント オブジェクトの属性としてアカウントと共に格納されます。

• 全般
• 住所
• アカウント
• プロファイル
• 電話
• 組織
• リモート デスクトップ サービス プロファイル
• COM+
• 属性エディター
• セキュリティ
• 環境
• セッション
• リモートコントロール
• 発行された証明書
• のメンバー
• パスワード レプリケーション
• ダイヤルイン
• オブジェクト

全般

ユーザー アカウントのプロパティ ページの [ 全般 ] タブには、ユーザーの名前と説明に関連する次のフィールドが含まれています。

• 名前
• イニシャル
• 姓
• 表示名称
• 説明
• Office
• 電話番号
• Web ページ

住所

ユーザー アカウントのプロパティ ページの [ アドレス ] タブでは、アカウントに位置情報を格納し、次のフィールドを含めます。

• Street
• 私書箱
• 市区町村
• 都道府県
• 郵便番号
• 国/地域

アカウント

ユーザー アカウント のプロパティ ページの [アカウント] タブでは、さまざまなアカウント設定を構成できます。 これには、ログオン時間、アカウントがログオンできる特定のコンピューター、アカウントがサポートする暗号化の種類が含まれます。 アカウントを委任できるかどうかを設定し、アカウントの有効期限を指定することもできます。 このタブには、次の設定が含まれています。

• ユーザー ログオン名 (ユーザー ログオン ドメインを含む)
• ユーザー ログオン名 (Windows 2000 より前)
• ログオン時間
• [ログオン先]
• アカウントのロック解除
• ユーザーは次回ログオン時にパスワードを変更する必要がある
• ユーザーがパスワードを変更できない
• パスワードを無期限にする
• 元に戻せる暗号化を使用してパスワードを保存する
• アカウントを無効にする
• 対話型ログオンにはスマート カードが必要です
• アカウントは機密性が高く、委任できません
• このアカウントには Kerberos DES 暗号化の種類のみを使用する
• このアカウントでは、Kerberos AES 128 ビット暗号化がサポートされます
• このアカウントでは、Kerberos AES 256 ビット暗号化がサポートされます
• Kerberos の事前認証は必要ありません
• アカウントの有効期限が切れる

プロフィール

ユーザー アカウントのプロパティ ページの [ プロファイル ] タブでは、移動プロファイル情報、ログオン スクリプト、ホーム フォルダーの設定を構成できます。 このタブには、次のフィールドがあります。

• プロファイルのパス
• ログオン スクリプト
• ホーム フォルダー

電話番号

ユーザー アカウントのプロパティ ページの [ 電話 ] タブでは、ユーザー アカウントに電話番号情報を格納できます。 これには次のフィールドが含まれています。

• ホーム
• ポケットベル
• モバイル
• ファクス
• IP Phone
• 注記

組織

ユーザー アカウントのプロパティ ページの [ 組織 ] タブでは、役職や部署など、ユーザーに関する情報を格納できます。 このタブを使用してマネージャーを指定し、直属の部下として表示されるユーザー アカウントを確認することもできます。 このタブには、次のフィールドがあります。

• 役職
• Department
• [会社]
• 支配人
• 直属の部下

リモート デスクトップ サービス プロファイル

ユーザー アカウントのプロパティ ページの [ リモート デスクトップ サービス プロファイル ] タブでは、リモート デスクトップ サービスのユーザー プロファイルを構成できます。 このタブには、次の設定が含まれています。

• リモート デスクトップ サービス ユーザー プロファイルのプロファイル パス
• リモート デスクトップ サービスのホーム フォルダー
• リモート デスクトップ セッション ホスト サーバーへのログオンに対するこのユーザーのアクセス許可を拒否する

COM+

ユーザー アカウントのプロパティ ページの [COM+ ] タブでは、ユーザー アカウントが関連付けられている COM+ パーティション セットを指定できます。

属性エディター

ユーザー アカウントのプロパティ ページの [ 属性エディター ] タブでは、各アカウント属性を直接編集できます。 属性エディターには、ユーザー プロパティ ページ インターフェイスを介して公開されていない属性も表示されます。

セキュリティ

ユーザー アカウントのプロパティ ページの [ セキュリティ ] タブでは、アカウントに適用されるセキュリティアクセス許可を表示できます。 [詳細設定] ボタンを選択すると、これらのアクセス許可の使用の監査を構成することもできます。

環境

ユーザー アカウントのプロパティ ページの [ 環境 ] タブでは、リモート デスクトップ サービス環境へのログオン時に開始する特定のプログラムを構成したり、ログオン時にクライアント ドライブ、プリンター、およびメイン クライアント プリンターを接続するかどうかを構成したりできます。

セッション

ユーザー アカウントのプロパティ ページの [ セッション ] タブでは、リモート デスクトップ サービスのタイムアウトと再接続の設定を構成できます。 このタブでは、次の設定を構成できます。

• 切断されたセッションを終了する
• アクティブなセッションの制限
• アイドル セッションの制限
• セッションの制限に達したとき、または接続が切断された場合に実行するアクション
• 任意のクライアントからの再接続を許可するか、元のクライアントからのみ再接続を許可するか

リモート制御

ユーザー アカウントのプロパティ ページの [ リモート コントロール ] タブでは、リモート デスクトップ サービスのリモート コントロール設定を構成できます。 このタブには、次のフィールドがあります。

• リモート 制御を有効にする
• ユーザーのアクセス許可を要求する
• 制御レベル (表示/操作)

公開された証明書

ユーザー アカウントのプロパティ ページの [ 発行済み証明書 ] タブには、ユーザー アカウント用に発行され、Active Directory に格納されているすべての X509 証明書が一覧表示されます。

所属するグループ

ユーザー アカウントのプロパティ ページ の [メンバー] タブでは、セキュリティ グループのメンバーシップを追加または削除できます。

パスワード レプリケーション

ユーザー アカウントのプロパティ ページの [ パスワード レプリケーション ] タブでは、ユーザー アカウントのパスワードのキャッシュされたコピーを格納する読み取り専用ドメイン コントローラーを指定できます。

ダイヤルイン

ユーザー アカウントのプロパティ ページの [ ダイヤルイン ] タブでは、次のネットワーク ポリシー サーバーのネットワーク アクセス許可を構成できます。

• アクセスを許可
• アクセス拒否
• NPS ネットワーク ポリシーを使用してアクセスを制御する
• Caller-ID を確認する
• コールバックなし
• 呼び出し元によって設定される
• 常にコールバックする
• 静的 IP アドレスの割り当て
• 静的ルートの適用

オブジェクト

ユーザー アカウントのプロパティ ページの [ オブジェクト ] タブでは、セキュリティ プリンシパル オブジェクトに関する情報を表示したり、[ オブジェクトを誤って削除しないように保護 する] 設定を構成したりできます。