ユーザーの名前付け属性

ユーザーの名前付け属性は、セキュリティ目的で使用されるログオン名やIDなどのユーザーオブジェクトを識別します。 cn, name、およびdistinguishedName属性は、ユーザーの名前付け属性の例です。 ユーザーオブジェクトはセキュリティプリンシパルオブジェクトであるため、次のユーザーの名前付け属性も含まれています。

• userPrincipalNameユーザーのログオン名
• objectGUIDユーザーの一意識別子
• sAMAccountName以前のバージョンのWindowsをサポートするログオン名
• objectSidユーザーのセキュリティ識別子 (SID)
• sIDHistoryユーザーオブジェクトの以前のsid

Note

これらの属性は、リモートサーバー管理ツール（RSAT）で利用可能なActive Directory User and Computers MMCスナップインを使用して表示および管理できます。

userPrincipalName

userPrincipalName属性は、ユーザーのログオン名です。 この属性は、Windowsユーザーにとって最も一般的なログオン名であるユーザープリンシパル名 (UPN) で構成されます。 通常、ユーザーはUPNを使用してドメインにログオンします。 この属性は、単一値のインデックス付き文字列です。

UPNは、インターネット標準RFC 822に基づく、ユーザーのインターネットスタイルのログイン名です。 UPNは識別名よりも短く、覚えやすい名前です。 慣例により、これはユーザーの電子メール名にマップされます。 UPNのポイントは、電子メールとログオンの名前空間を統合して、ユーザーが単一の名前を覚えるだけで済むようにすることです。

UPN の形式

UPN は、UPN プレフィックス (ユーザー アカウント名) と UPN サフィックス (DNS ドメイン名) とから成ります。 プレフィックスとサフィックスは、"@" 記号を使用して結合されます たとえば、"someone@example.com"のようになります。 UPN は、ディレクトリ フォレスト内のすべてのセキュリティ プリンシパル オブジェクトの中で一意であることが必要です。 つまり、UPNのプレフィックスは再利用できますが、同じサフィックスを使用することはできません。

UPNサフィックスには次の制限があります。

• ドメインのDNS名である必要がありますが、ユーザーを含むドメインの名前である必要はありません。
• 現在のドメインフォレスト内のドメインの名前、または構成コンテナー内のPartitionsコンテナーのupnSuffixes属性に一覧表示されている代替名である必要があります。

UPN Management

UPNは、ユーザーアカウントの作成時に割り当てることができますが、必須ではありません。 UPNが作成されると、ユーザーの名前変更や移動など、ユーザーオブジェクトの他の属性に対する変更の影響を受けません。 これにより、ディレクトリが再構築された場合でも、ユーザーは同じログイン名を保持できます。 ただし、管理者はUPNを変更できます。 新しいユーザーオブジェクトを作成する場合は、提案された名前がまだ存在していないことを確認するために、ローカルドメインとグローバルカタログを確認する必要があります。

ユーザーがUPNを使用してドメインにログオンすると、UPNはローカルドメインを検索してからグローバルカタログを検索することによって検証されます。 UPNがグローバルカタログに見つからない場合、ログオン試行は失敗します。

objectGUID

objectGUID属性は、ユーザーの一意の識別子です。 この属性は、単一値の128ビットグローバル一意識別子 (GUID) であり、 ADS_OCTET_STRING 構造体として格納されます。 GUIDは、ユーザーオブジェクトの作成時にActive Directoryサーバーによって作成されます。

オブジェクトの識別名は、オブジェクトの名前を変更したり移動したりすると変更されるため、識別名はオブジェクトの信頼できる識別子ではありません。 Active Directoryドメインサービスでは、オブジェクトの名前を変更したり移動したりしても、オブジェクトのobjectGUID属性は変更されません。 IADsプロパティメソッドのGUIDプロパティメソッドを使用して、objectGUIDの文字列形式を取得できます。

sAMAccountName

sAMAccountName属性は、Windows NT 4.0、Windows 95、Windows 98、LAN Managerなど、以前のバージョンのWindowsのクライアントとサーバーをサポートするために使用されるログオン名です。 ログオン名は20文字以下の長さで、ドメイン内のすべてのセキュリティ プリンシパル オブジェクト間で一意である必要があります。

オブジェクトシッド

objectSid属性は、ユーザーのセキュリティ識別子 (SID) です。 SIDは、Windowsセキュリティとの対話中にユーザーとそのグループメンバーシップを識別するために、システムによって使用されます。 属性は単一値です。 SIDは、ユーザーをセキュリティプリンシパルとして識別するために使用される一意のバイナリ値です。

SIDは、ユーザーの作成時にシステムによって設定されます。 各ユーザーには、Windowsドメインによって発行され、ディレクトリ内のユーザーオブジェクトのobjectSid属性に格納されている一意のSIDがあります。 ユーザーがログオンするたびに、システムはディレクトリからユーザーのSIDを取得し、ユーザーのアクセストークンにそれを配置します。 ユーザーのSIDは、ユーザーがメンバーになっているグループのsidを取得し、ユーザーのアクセストークンにそれらを配置するためにも使用されます。 SIDがユーザーまたはグループの一意の識別子として使用されている場合は、もう一度使用して別のユーザーまたはグループを識別することはできません。

sIDHistory

sIDHistory属性には、ユーザーオブジェクトの以前のsidが含まれています。 これは複数値の属性です。 ユーザーが別のドメインに移動された場合、ユーザーオブジェクトには以前のsidがあります。 ユーザーオブジェクトが新しいドメインに移動されるたびに、新しいSIDが作成され、objectSid属性が割り当てられ、以前のSIDがsIDHistory属性に追加されます。

関連トピック

ユーザー オブジェクト属性