ユーザーの名前付け属性

  • [アーティクル]

ユーザーの名前付け属性は、セキュリティ目的で使用されるログオン名や ID など、ユーザー オブジェクトを識別します。 cnnamedistinguishedName 属性は、ユーザーの名前付け属性の例です。 ユーザー オブジェクトはセキュリティ プリンシパル オブジェクトであるため、次のユーザー名前付け属性も含まれます。

  • userPrincipalName — ユーザーのログオン名
  • objectGUID — ユーザーの一意識別子
  • sAMAccountName — 以前のバージョンの Windows をサポートするログオン名
  • objectSid — ユーザーのセキュリティ識別子 (SID)
  • sIDHistory — ユーザー オブジェクトの以前の SID

注意

これらの属性は、 リモート サーバー管理ツール (RSAT) で使用できる Active Directory ユーザーとコンピューター MMC スナップインを使用して表示および管理できます。

 

userPrincipalName

userPrincipalName 属性は、ユーザーのログオン名です。 属性は、Windows ユーザーに最も一般的なログオン名であるユーザー プリンシパル名 (UPN) で構成されます。 ユーザーは通常、UPN を使用してドメインにログオンします。 この属性は、単一値のインデックス付き文字列です。

UPN は、インターネット標準 RFC 822 に基づくユーザーのインターネット スタイルのログイン名です。 UPN は識別名よりも短く、覚えやすいです。 慣例により、これはユーザーの電子メール名にマップされる必要があります。 UPN のポイントは、電子メールとログオンの名前空間を統合して、ユーザーが 1 つの名前を覚えるだけで済むようすることです。

UPN 形式

UPN は、UPN プレフィックス (ユーザー アカウント名) と UPN サフィックス (DNS ドメイン名) とから成ります。 プレフィックスとサフィックスは、"@" 記号を使用して結合されます たとえば、"someone@ example.com" とします。 UPN は、ディレクトリ フォレスト内のすべてのセキュリティ プリンシパル オブジェクトの中で一意であることが必要です。 つまり、UPN のプレフィックスは、同じサフィックスではなく再利用できます。

UPN サフィックスには、次の制限があります。

  • ドメインの DNS 名である必要がありますが、ユーザーを含むドメインの名前である必要はありません。
  • これは、現在のドメイン フォレスト内のドメインの名前、または構成コンテナー内の Partitions コンテナーの upnSuffixes 属性に一覧表示されている代替名である必要があります。

UPN 管理

UPN は割り当てることができますが、ユーザー アカウントの作成時には必須ではありません。 UPN が作成されると、名前の変更や移動中のユーザーなど、ユーザー オブジェクトの他の属性に対する変更の影響を受けません。 これにより、ディレクトリが再構築された場合、ユーザーは同じログイン名を保持できます。 ただし、管理者は UPN を変更できます。 新しいユーザー オブジェクトを作成するときは、提案された名前のローカル ドメインとグローバル カタログをチェックして、まだ存在していないことを確認する必要があります。

ユーザーが UPN を使用してドメインにログオンすると、ローカル ドメインとグローバル カタログを検索して UPN が検証されます。 UPN がグローバル カタログに見つからない場合、ログオン試行は失敗します。

objectGUID

objectGUID 属性は、ユーザーの一意識別子です。 属性は、単一値の 128 ビットグローバル一意識別子 (GUID) であり、 ADS_OCTET_STRING 構造体として格納されます。 GUID は、ユーザー オブジェクトの作成時に Active Directory サーバーによって作成されます。

オブジェクトの名前を変更または移動すると、オブジェクトの識別名が変更されるため、識別名はオブジェクトの信頼できる識別子ではありません。 Active Directory Domain Servicesでは、オブジェクトの名前が変更または移動された場合でも、オブジェクトの objectGUID 属性は変更されません。 IADs プロパティ メソッドの GUID プロパティ メソッドを使用して、objectGUID の文字列形式を取得できます。

sAMAccountName

sAMAccountName 属性は、Windows NT 4.0、Windows 95、Windows 98、LAN Manager など、以前のバージョンの Windows のクライアントとサーバーをサポートするために使用されるログオン名です。 ログオン名は 20 文字以下で、ドメイン内のすべてのセキュリティ プリンシパル オブジェクト間で一意である必要があります。

objectSid

objectSid 属性は、ユーザーのセキュリティ識別子 (SID) です。 SID は、Windows セキュリティとの対話中にユーザーとそのグループ メンバーシップを識別するためにシステムによって使用されます。 属性は単一値です。 SID は、ユーザーをセキュリティ プリンシパルとして識別するために使用される一意のバイナリ値です。

SID は、ユーザーの作成時にシステムによって設定されます。 各ユーザーには、Windows ドメインによって発行され、ディレクトリ内のユーザー オブジェクトの objectSid 属性に格納される一意の SID があります。 ユーザーがログオンするたびに、システムはディレクトリからユーザーの SID を取得し、ユーザーのアクセス トークンに配置します。 ユーザーの SID は、ユーザーがメンバーであるグループの SID を取得し、ユーザーのアクセス トークンに配置するためにも使用されます。 SID がユーザーまたはグループの一意の識別子として使用されている場合、別のユーザーまたはグループを識別するために再び使用することはできません。

Sidhistory

sIDHistory 属性には、ユーザー オブジェクトの以前の SID が含まれています。 これは複数値の属性です。 ユーザーが別のドメインに移動された場合、ユーザー オブジェクトには以前の SID があります。 ユーザー オブジェクトが新しいドメインに移動されるたびに、新しい SID が作成され、 objectSid 属性が割り当てられ、前の SID が sIDHistory 属性に追加されます。

ユーザー オブジェクト属性