Active Directory ドメインサービス – アカウントの管理 (ユーザーアカウントプロパティ)

Active Directory ドメインサービス
2024.01.15

Active Directory ドメインサービス (AD DS) でのアカウントの管理について解説します.
今回はユーザーアカウントの属性(プロパティ)の説明を行っていきます.

ユーザーアカウントプロパティ

AD DS のユーザーアカウントには様々な属性があり,多数の情報を追加することが可能です.
AD DS の仕組み自体が LDAP がベースとなっている為,LDAP サーバーとして利用可能でして,値を正しく入れれば Windows も Linux も AD DS を参照したアカウントの一元化ができたりします.

ここでは LDAP としてのお話はせず,GUI 上見える項目をもとに解説していきます.

プロパティの表示

ユーザーアカウントを右クリックし「プロパティ」をクリックします.

「全般」プロパティ

「全般」プロパティについてどのような値を入れるものかを解説します.ユーザーアカウントを作成する際に説明した項目は省きます.

  • 説明
    このユーザーアカウントを説明(補足)するためのフィールドです.通常のユーザーアカウントで利用されるケースは少ないと思います.何らか連携用のアカウントで用途が分かるように入れていることは見たことがあります.
  • 事業所
    本来用途としてはどこの事業所で働いているのかを入れるフィールドです.これも通常使われないです.
  • 電話番号
    電話番号は複数入れることが可能です.が「電話」タブにも電話番号を持つフィールドがあるので使う場合どこに何を入れるかは検討が必要です.
  • 電子メール
    このユーザーアカウントが利用するメールアドレスです.メールシステムと連携する場合は利用したりします.
  • Webページ
    Web サイト URL を入れるフィールドです.これも通常使われないです.

「住所」プロパティ

「住所」プロパティについてどのような値を入れるものかを解説します.
まず前提としてですが,この画面のフィールドですが,本来は個人情報を入れる所になりますので,基本的に使われることはないと思います.
大企業で事業所情報を入れることはあるかと思いますが,ここまで入れていることを自分は見たことはありません…

  • 国/地域
    住んでいる国を指定(選択)します.
  • 郵便番号
    郵便番号を入力します.
  • 都道府県
    都道府県名を入力します.
  • 市区町村
    市区町村名を入力します.
  • 私書箱
    私書箱名を入力します.
  • 番地
    番地を入力します.

「アカウント」プロパティ

「アカウント」プロパティについてどのような値を入れるものかを解説します.ユーザーアカウントを作成する際に説明した項目は省きます.

  • ログオン時間
    このユーザーがログオン可能な時間を制限・強制する際に用いられます.これを用いずに実現する方法を他のやり方で持つことも可能ですので,ここで制限をかけることはまれだと思います.
  • ログオン先
    このユーザーがログオンできる機器(PCなど)を指定するために用いられます.ここで指定しても,指定先側でも制御が可能ですので,どちらかというと利用先での制御をかけるほうが一般的です.
  • アカウントのロックを解除する
    パスワードを何度か間違った場合などで「ロック」されます.その際にここがチェックされます.チェックを外して保存することでロック解除させることができます.
  • アカウントオプション
    • 暗号化を元に戻せる状態でパスワードを保存する
      利用するシステム上で CHAP という認証を利用したい場合に有効にします.通常は無効で大丈夫です.
    • 対話型ログオンにはスマートカードが必要
      これを有効にするとユーザーがログオンするためにスマートカードの利用が必須になります.
    • アカウントは重要なので委任できない
      このアカウントを別のアカウントによる委任に割り当てることをさせない場合に使用します.
    • このアカウントに Kerberos DES 暗号化を使う
      Kerberos の認証に DES 暗号を利用する (強制させる) 場合に利用します.セキュリティが下がる為通常は有効にすることはありません.
    • このアカウントで Kerberos AES 128 ビット暗号をサポートする
      Kerberos 認証に AES 128 bit 暗号を利用する場合に有効にします.
    • このアカウントで Kerberos AES 256 ビット暗号をサポートする
      Kerberos 認証に AES 256 bit 暗号を利用する場合に有効にします.
    • Kerberos 事前認証を必要としない
      Kerberos の事前認証を行わない場合に有効にしますが,セキュリティが下がる為通常は有効にすることはありません.
  • アカウント期限
    アカウントの有効期限を指定する場合に設定します.この期間を過ぎるとアカウントは無効化されます.一時的なユーザーに適用するケースがあります.

「プロファイル」プロパティ

「プロファイル」プロパティについてどのような値を入れるものかを解説します.

  • プロファイルパス
    このユーザーのプロファイル(設定情報)をリモートサーバーなどに保存する場合に利用します.ただし,グループポリシーで設定できるため,ここのフィールドで設定を行うケースは少ないです.
  • ログオンスクリプト
    このユーザーがログオンする際にスクリプトを実行する場合に利用します.これもグループポリシーで設定できるため,ここのフィールドで設定を行うケースは少ないです.
  • ホームフォルダー
    以下もグループポリシーで設定できるため,ここのフィールドで設定を行うケースは少ないです.
    • ローカルパス
      C:\Users\<ユーザー名> 以外をホームフォルダーにしたい場合に利用します.
    • 接続ドライブ
      ファイルサーバーをドライブマウントする場合に利用します.

「電話」プロパティ

「電話」プロパティについてどのような値を入れるものかを解説します.
全体的に IP 電話などのシステムで用いている場合でない限り利用されるケースは少ないと思います.

  • 自宅
    自宅の電話番号を入力します.利用の際,事務所の電話番号が利用されるケースが多いと思います.
  • ポケットベル
    ポケットベルの電話番号を入力します.
  • 携帯電話
    携帯電話の電話番号を入力します.
  • FAX
    FAX の電話番号を入力します.
  • IP 電話
    IP 電話の電話番号を入力します.

「組織」プロパティ

「組織」プロパティについてどのような値を入れるものかを解説します.

  • 会社名
    会社の名前を入力します.
  • 部署
    部署名を入力します.
  • 役職
    役職を入力します.
  • 上司
    このユーザーの上司を選択します.
  • 直属の部下
    上司のユーザーとして選択されたユーザーアカウントでは,ここに部下が一覧で表示されます.

「所属グループ」プロパティ

「所属グループ」プロパティについてどのような値を入れるものかを解説します.

  • 所属グループ
    このユーザーが所属するグループを選択します.複数のグループに参加させることが可能です.また,Domain Users がデフォルトとしてグループに所属している状態となります.
  • プライマリグループ
    このユーザーのメインのグループを選択します.Linux や Mac などで連携する場合はここでプライマリグループを設定する必要がありますが,そうじゃない場合は意識する必要はありません.

「リモートデスクトップサービスのプロファイル」プロパティ

「リモートデスクトップサービスのプロファイル」プロパティについてどのような値を入れるものかを解説します.

  • プロファイルパス
    このユーザーのプロファイル(設定情報)をリモートサーバーなどに保存する場合に利用します.ただし,グループポリシーで設定できるため,ここのフィールドで設定を行うケースは少ないです.
  • リモートデスクトップサービスのホームフォルダー
    以下もグループポリシーで設定できるため,ここのフィールドで設定を行うケースは少ないです.
    • ローカルパス
      C:\Users\<ユーザー名> 以外をホームフォルダーにしたい場合に利用します.
    • 接続ドライブ
      ファイルサーバーをドライブマウントする場合に利用します.
  • このユーザーのリモートデスクトップセッションホストサーバーへのログオンを拒否する
    ここが有効な場合,RDSH の利用ができないようになります.が,これもやはりループポリシーで設定できるため,ここのフィールドで設定を行うケースは少ないです.

「COM+」プロパティ

「COM+」プロパティについてどのような値を入れるものかを解説します.

  • パーティションセット
    COM+ アプリケーションを割り当てる・制限するために用いられます.すみません.ここはよくわかりません…

「フリガナ」プロパティ

「フリガナ」プロパティについてどのような値を入れるものかを解説します.


  • アカウントの姓を漢字で入れた場合にフリガナを入れられます.

  • アカウントの名を漢字で入れた場合にフリガナを入れられます.
  • 表示名
    アカウントの表示名を漢字で入れた場合にフリガナを入れられます.
  • 会社名
    会社名を漢字で入れた場合にフリガナを入れられます.
  • 部署
    部署を漢字で入れた場合にフリガナを入れられます.

「ダイヤルイン」プロパティ

「ダイヤルイン」プロパティについてどのような値を入れるものかを解説します.
いずれも NPS サービスとグループポリシーで制御する方が管理面でよいとは思います.

  • リモートアクセス許可
    NPS サービスのアクセスを許可・拒否,NPS ポリシーのいずれの制御を行うのかを選択できます.
  • 発信者番号を確認
    ダイヤルインの発信者番号をチェックする際に電話番号を入力します.
  • コールバックオプション
    コールバックを行うのかの制御を行います.
  • 静的IPアドレスを割り当てる
    このユーザーの接続に対して,固定のアドレスを割り当てるかどうかの設定ができます.
  • 静的ルートを設定
    このユーザーのダイヤルイン接続に対して,任意のルート情報を配布することができます.

「環境」プロパティ

「環境」プロパティについてどのような値を入れるものかを解説します.
この設定全般もグループポリシーで纏めて実施したほうが管理面でよいと思います.

  • 起動プログラム
    • ログオン時に次のプログラムを起動する
      有効にすると RDSH 利用時,デスクトップではなくアプリケーションのみの利用になります.
  • クライアントのデバイス
    • ログオン時,クライアントのドライブに接続する
      有効にすると接続元のドライブを RDSH 接続先に接続します.
    • ログオン時,クライアントのプリンターに接続する
      有効にすると接続元のプリンターを RDSH 接続先に接続します.
    • クライアントの通常使うプリンターを規定にする
      クライアントのプリンターを接続した際,デフォルトプリンターをクライアントのプリンターにします.

「セッション」プロパティ

「セッション」プロパティについてどのような値を入れるものかを解説します.
この設定全般もグループポリシーで纏めて実施したほうが管理面でよいと思います.

  • 切断されたセッションの終了
    RDS 切断後,セッションを自動終了するのかを制御します.
  • アクティブセッションの最大時間
    RDS ログオン後時間制限を設けるのかを制御します.
  • アイドルなセッションの最大時間
    RDS ログオン後,無操作時間が発生したらセッションを終了させるかを制御します.
  • セッションの限界に達したり中断が発生した場合
    セッションを切断するのか,終了するのかを選択できます.再接続の許可: 再接続時,前回接続したクライアントのみとするのかを制御できます.

「リモート制御」プロパティ

「リモート」プロパティについてどのような値を入れるものかを解説します.
この設定全般もグループポリシーで纏めて実施したほうが管理面でよいと思います.

  • リモート制御を有効にする
    ユーザーが接続しているセッションの制御 (画面の確認や操作) を有効にするかどうかを制御できます.
  • セッションを制御、監視するにはユーザーの許可を必要とする
    ユーザーのセッションに横入する際に許可を求めるかどうかを制御できます.
  • 制御レベル
    • ユーザーのセッションを監視する
      ユーザーが実施している操作を見ることができます.
    • ユーザーのセッションと対話する
      ユーザーが実施している操作に介入して操作することができます.

以上,ユーザーの作成から各プロパティの説明となります.次回はグループについて纏めます.

コメント

タイトルとURLをコピーしました