Active Directory ユーザーとコンピューター コンソールでは、ユーザー アカウントを含むセキュリティ プリンシパルを作成、削除、管理できます。 このコンソールは、リモート サーバー管理ツールの Active Directory Domain Services (AD DS) および Active Directory Lightweight Directory Services (AD LDS) Tools コンポーネントが Windows Server またはクライアント コンピューターにインストールされている場合に使用できます。 セキュリティアクセス許可を作成、削除、管理するには、適切なアクセス許可が必要です。 既定では、Domain Admins グループと Enterprise Admins グループのメンバーは、ユーザー、グループ、およびコンピューター アカウントを管理できます。 Account Operators グループのメンバーは、ユーザー アカウントを作成、変更、削除できますが、グループやアクセス許可を管理することはできません。
前提条件
Active Directory ユーザーとコンピューターでユーザー アカウントを管理するには、次の前提条件が必要です。
リモート サーバー管理ツールの Active Directory Domain Services (AD DS) および Active Directory Lightweight Directory Services (AD LDS) ツール コンポーネントがインストールされた Windows Server または Windows クライアント オペレーティング システムを実行しているコンピューター。
コンピューターはドメインに参加している必要があり、使用しているユーザー アカウントには、そのドメインのユーザー アカウントを管理するための適切なアクセス許可が必要です。
ユーザー アカウントの管理
このページの次のセクションでは、サーバー上のユーザー アカウントを管理する情報を提供します。
- ユーザー アカウントを作成する
- グループ メンバーシップを管理する
- ユーザー パスワード をリセットする
- ユーザー アカウントを無効にする
- ユーザー アカウントを有効にする
- ユーザー アカウントを削除する
- ユーザー アカウントのプロパティ
ユーザー アカウントの作成
ユーザー アカウントを追加すると、割り当てられたユーザーはドメインに参加しているコンピューターにサインインできます。 共有フォルダー、プリンター、アプリケーションなどのネットワーク リソースにアクセスするためのアクセス許可をユーザーに付与できます。 Active Directory ユーザーとコンピューターを使用してユーザー アカウントを作成するには、次の手順に従います。
- Active Directory ユーザーとコンピューターコンソールで、ドメイン ツリーを展開し、ユーザー アカウントをホストするコンテナーまたは組織単位を選択します。
- [アクション] メニューの [新規] を選択し、[ユーザー] を選択します。
- [新しいオブジェクト - ユーザー] ダイアログで、次の情報を入力し、[次へ] を選択します。
- 名: ユーザーの名 (省略可能なフィールド)
- イニシャル: ユーザーのイニシャル (省略可能なフィールド)
- 姓: ユーザーの姓 (省略可能なフィールド)
- フル ネーム: ユーザーのフル ネーム (必須フィールド)
- ユーザー ログオン名: ユーザー アカウント名 (必須フィールド)
- [新しいオブジェクト - ユーザー] ダイアログの 2 番目のページで、次の情報を入力し、[次へ] を選択します。
- パスワード: 割り当てられたパスワードまたはユーザーが次回ログオン時に変更する一時パスワードを指定できます。
- 確認: 割り当てられたパスワードまたは一時パスワードの複製
- ユーザーは次回ログオン時にパスワードを変更する必要があります。 ユーザーが次回ログオン時にパスワードを変更するように強制できるチェック ボックス。 有効にすることも、空白のままにすることもできます。
- ユーザーはパスワードを変更できません。 ユーザーが自分のパスワードを変更できないように制限できるチェック ボックス。 有効にすることも、空白のままにすることもできます。
- パスワードの有効期限が切れることはありません。 パスワード ポリシーからアカウントを除外するために有効にできるチェック ボックス。 有効にすることも、空白のままにすることもできます。
- アカウントが無効になっています。 無効な状態でアカウントを作成できるチェック ボックス。 有効にすることも、黒のままにすることもできます。
- [新しいオブジェクト - ユーザー] ダイアログの概要ページを確認し、[完了] を選択してアカウントを作成します。
グループ メンバーシップの管理
共有フォルダーなどのセキュリティアクセス許可は、通常、個々のユーザー アカウントではなくセキュリティ グループに割り当てられます。 ユーザーがメンバーになっているグループを管理することで、多くの場合、ユーザー アカウントがアクセスできるリソースを管理します。 アカウントのグループ メンバーシップを管理するには、次の手順を実行します。
- [Active Directory ユーザーとコンピューター] コンソールで、メンバーシップを管理するユーザー アカウントを見つけて選択します。
- [アクション] メニューの [プロパティ] を選択します。
- [ユーザー アカウントのプロパティ] ダイアログ ボックスで、[メンバー] タブを選択します。
- グループからユーザー アカウントを削除する場合は、一覧表示されているグループを選択し、[削除] を選択し、[OK] を選択してユーザー アカウントのプロパティ ダイアログ ボックスを閉じます。
- ユーザー アカウントをグループに追加する場合は、[追加] を選択します。
- [グループの選択] ダイアログ ボックスで、アカウントを追加するグループの名前を入力し、[OK] を選択します。 グループ名がわからない場合は、[詳細設定] ボタンを使用してドメインでグループを検索し、[名前の確認] ボタンを使用して正しい名前を確認します。
- [OK] を選択してユーザー アカウントのプロパティ ダイアログ ボックスを閉じ、変更を適用します。
ユーザーのパスワードのリセット
Active Directory ユーザーとコンピューターコンソールを使用してユーザー アカウントのパスワードをリセットするには、次の手順を実行します。
- Active Directory ユーザーとコンピューター コンソールで、パスワードをリセットするユーザー アカウントを見つけます。
- [操作] メニューの [パスワードのリセット] を選択します。
- [パスワードのリセット] ダイアログ ボックスで、次の情報を入力し、[OK] を選択します。
- 新しいパスワード: ユーザーの新しいパスワード
- パスワードの確認: 同じパスワードを再入力して確認します
- ユーザーは次回ログオン時にパスワードを変更する必要があります。 次回のサインオン時にユーザーにパスワードの変更を強制できるチェック ボックス。
- ユーザー アカウントのロックを解除します。 正しくないパスワードを入力したためにアカウントがロックアウトされている場合は、このチェック ボックスをオンにしてアカウントのロックを解除します。
ユーザー アカウントを無効にする
Active Directory ユーザーとコンピューター コンソールを使用してユーザー アカウントを無効にするには、次の手順を実行します。
- Active Directory の [ユーザーとコンピューター] コンソールで、無効にするユーザー アカウントを見つけます。
- [アクション] メニューの [アカウントの無効化] を選択します。
- [Active Directory Domain Services] ダイアログで、[OK] を選択します。 アカウントが無効になっています。
アカウントが無効になっている場合、サインオンはサインインしたままですが、新しいサインインを実行できません。
ユーザー アカウントを有効にする
Active Directory ユーザーとコンピューター コンソールを使用してユーザー アカウントを有効にするには、次の手順を実行します。
- Active Directory ユーザーとコンピューター コンソールで、有効にするユーザー アカウントを見つけます。
- [アクション] メニューの [アカウントの有効化] を選択します。
- [Active Directory Domain Services] ダイアログで、[OK] を選択します。 アカウントが有効になっています。
ユーザー アカウントを削除する
Active Directory からアカウントを削除すると、アカウントが削除されます。 ベスト プラクティスは、アカウントに他の方法ではアクセスできないリソースに対するアクセス許可がある場合に備えて、アカウントを削除する前に無効にすることです。 Active Directory ユーザーとコンピューター コンソールを使用してアカウントを削除するには、次の手順に従います。
- Active Directory ユーザーとコンピューター コンソールで、有効にするユーザー アカウントを見つけます。
- [アクション] メニューの [アカウントの有効化] を選択します。
- [Active Directory Domain Services] ダイアログで、[OK] を選択します。 アカウントが有効になっています。
アカウントを削除する前に Active Directory のごみ箱を有効にした場合、削除されたアカウントは Active Directory のごみ箱を使用して回復できます。 Active Directory のごみ箱が有効になっていない場合は、アカウントを含む AD DS のバックアップを使用して、AD DS の権限のある復元を実行する必要があります。
ユーザー アカウントのプロパティ
次の一覧には、[ユーザー アカウントのプロパティ] ページのすべてのタブが含まれています。タブは、[高度な機能] オプションが有効になっている場合にのみ表示されます。 このオプションは、Active Directory ユーザーとコンピューター コンソールの [表示] メニューで有効にすることができます。 この情報は、AD DS アカウント オブジェクトの属性としてアカウントと共に格納されます。
一般住所アカウントプロフィール電話組織リモート デスクトップ サービス プロファイルCOM+属性エディタセキュリティ環境セッションリモート コントロール発行された証明書メンバーパスワード レプリケーションダイヤルインオブジェクト
全般
ユーザー アカウントのプロパティ ページの [全般] タブには、ユーザーの名前と説明に関連する次のフィールドが含まれています。
- First Name
- イニシャル
- 姓
- 表示名称
- 説明
- オフィス
- 電話番号
- Web ページ
住所
ユーザー アカウントのプロパティ ページの [アドレス] タブでは、アカウントに位置情報を格納し、次のフィールドを含めます。
- Street
- 私書箱
- 市区町村
- 都道府県
- 郵便番号
- 国/地域
アカウント
ユーザー アカウントのプロパティ ページの [アカウント] タブでは、さまざまなアカウント設定を構成できます。 これには、ログオン時間、アカウントがログオンできる特定のコンピューター、アカウントがサポートする暗号化の種類が含まれます。 アカウントを委任できるかどうかを設定し、アカウントの有効期限を指定することもできます。 このタブには、次の設定が含まれています。
- ユーザー ログオン名 (ユーザー ログオン ドメインを含む)
- ユーザー ログオン名 (Windows 2000 より前)
- ログオン時間
- [ログオン先]
- アカウントのロック解除
- ユーザーは次回ログオン時にパスワードを変更する必要がある
- ユーザーがパスワードを変更できない
- パスワードを無期限にする
- 元に戻せる暗号化を使用してパスワードを保存する
- アカウントを無効にする
- 対話型ログオンにはスマート カードが必要です
- アカウントは機密性が高く、委任できません
- このアカウントには Kerberos DES 暗号化の種類のみを使用する
- このアカウントでは、Kerberos AES 128 ビット暗号化がサポートされます
- このアカウントでは、Kerberos AES 256 ビット暗号化がサポートされます
- Kerberos の事前認証は必要ありません
- アカウントの有効期限が切れる
プロフィール
ユーザー アカウントのプロパティ ページの [プロファイル] タブでは、移動プロファイル情報、ログオン スクリプト、ホーム フォルダーの設定を構成できます。 このタブには、次のフィールドがあります。
- プロファイルのパス
- ログオン スクリプト
- ホーム フォルダー
電話番号
ユーザー アカウントのプロパティ ページの [電話] タブでは、ユーザー アカウントに電話番号情報を格納し、次のフィールドを含めます。
- 家
- ポケットベル
- モバイル
- ファクス
- IP Phone
- 注記
組織
ユーザー アカウントのプロパティ ページの [組織] タブでは、役職や部署などのユーザーに関する情報を格納できます。 このタブを使用してマネージャーを指定し、直属の部下として表示されるユーザー アカウントを確認することもできます。 このタブには、次のフィールドがあります。
- 役職
- Department
- [会社]
- 支配人
- 直属の部下
リモート デスクトップ サービス プロファイル
ユーザー アカウントのプロパティ ページの [リモート デスクトップ サービス プロファイル] タブでは、リモート デスクトップ サービスのユーザー プロファイルを構成できます。 このタブには、次のフィールドがあります。
- リモート デスクトップ サービス ユーザー プロファイルのプロファイル パス
- リモート デスクトップ サービスのホーム フォルダー
- リモート デスクトップ セッション ホスト サーバーへのログオンに対するこのユーザーのアクセス許可を拒否する
COM+
ユーザー アカウントのプロパティ ページの [COM+] タブでは、ユーザー アカウントが関連付けられている COM+ パーティション セットを指定できます。
属性エディター
ユーザー アカウントのプロパティ ページの [属性エディター] タブでは、各アカウント属性を直接編集できます。 属性エディターには、ユーザー プロパティ ページ インターフェイスを介して公開されていない属性も表示されます。
安全
ユーザー アカウントのプロパティ ページの [セキュリティ] タブでは、アカウントに適用されるセキュリティアクセス許可を表示できます。 [詳細設定] ボタンを選択すると、これらのアクセス許可の使用の監査を構成することもできます。
環境
ユーザー アカウントのプロパティ ページの [環境] タブでは、リモート デスクトップ サービス環境へのログオン時に開始する特定のプログラムを構成したり、ログオン時にクライアント ドライブ、プリンター、およびメイン クライアント プリンターを接続するかどうかを構成したりできます。
セッション
ユーザー アカウントのプロパティ ページの [セッション] タブでは、リモート デスクトップ サービスのタイムアウトと再接続の設定を構成できます。 このタブでは、次の設定を構成できます。
- 切断されたセッションを終了する
- アクティブなセッションの制限
- アイドル セッションの制限
- セッションの制限に達したとき、または接続が切断された場合に実行するアクション
- 任意のクライアントからの再接続を許可するか、元のクライアントからのみ再接続を許可するか
リモート制御
ユーザー アカウントのプロパティ ページの [リモート コントロール] タブでは、リモート デスクトップ サービスのリモート コントロール設定を構成できます。 このタブには、次のフィールドがあります。
- リモート 制御を有効にする
- ユーザーのアクセス許可を要求する
- 制御レベル (表示/操作)
公開された証明書
ユーザー アカウントのプロパティ ページの [発行済み証明書] タブには、ユーザー アカウント用に発行され、Active Directory 内に格納されているすべての X509 証明書が一覧表示されます。
所属するグループ
ユーザー アカウントのプロパティ ページの [メンバー] タブでは、セキュリティ グループ グループのメンバーシップを管理できます。 ユーザー アカウントのプロパティ ページのこのタブを使用して、グループ メンバーシップを追加または削除できます。
パスワード レプリケーション
ユーザー アカウントのプロパティ ページの [パスワード レプリケーション] タブでは、ユーザー アカウントのパスワードを読み取り専用ドメイン コントローラーにキャッシュするかどうかを管理できます。 このタブを使用して、ユーザー アカウントのパスワードのキャッシュされたコピーを格納する読み取り専用ドメイン コントローラーを指定できます。
ダイヤルイン
ユーザー アカウントのプロパティ ページの [ダイヤルイン] タブでは、次のネットワーク ポリシー サーバーのネットワーク アクセス許可を構成できます。
- アクセスを許可
- アクセス拒否
- NPS ネットワーク ポリシーを使用してアクセスを制御する
- Caller-ID を確認する
- コールバックなし
- 呼び出し元によって設定される
- 常にコールバックする
- 静的 IP アドレスの割り当て
- 静的ルートの適用
オブジェクト
ユーザー アカウントのプロパティ ページの [オブジェクト] タブでは、セキュリティ プリンシパル オブジェクトに関する情報を表示したり、[オブジェクトを誤って削除しないように保護する] 設定を構成したりできます。