Active Directory のユーザー アカウントは、人などの物理的なエンティティを表します。また、ユーザー アカウントを一部のアプリケーション専用のサービス アカウントとして使用することもできます。

ユーザー アカウントはセキュリティ プリンシパルと呼ばれることもあります。セキュリティ プリンシパルは、セキュリティ識別子 (SID) を自動的に割り当てられるディレクトリ オブジェクトで、ドメイン リソースへのアクセスに使用できます。ユーザー アカウントの主要な機能は次のとおりです。

  • ユーザーの身元を証明します。

    ユーザーは、ドメインが認証できる ID を持つユーザー アカウントを使用して、コンピューターやドメインにログオンできます。ネットワークにログオンするすべてのユーザーが、それぞれ固有のユーザー アカウントとパスワードを持っている必要があります。最大限のセキュリティを確保するため、複数のユーザーが 1 つのアカウントを共有することは避けてください。

  • ドメイン リソースへのアクセスを許可または拒否します。

    認証の後で、そのユーザーに明示的に割り当てられているアクセス許可に基づいて、ドメイン リソースへのアクセスが許可または拒否されます。

ユーザー アカウント

Active Directory 管理センターの [ユーザー] コンテナーには、3 つの組み込みユーザー アカウントである、Administrator、Guest、および HelpAssistant が表示されます。これらの組み込みユーザー アカウントは、ドメインの作成時に自動的に作成されます。

組み込みアカウントには、それぞれ異なる権利とアクセス許可の組み合わせが割り当てられています。Administrator アカウントには、そのドメインにおける最も広範な権利とアクセス許可が割り当てられています。Guest アカウントには、限られた権利とアクセス許可しか割り当てられていません。Windows Server 2008 R2 を実行するドメイン コントローラー上の既定のユーザー アカウントについて、次の表で説明します。

既定のユーザー アカウント 説明

Administrator

Administrator アカウントには、そのドメインに対する完全な制御権限が与えられます。このアカウントは、必要に応じて、ドメイン ユーザーにユーザー権利とアクセス制御のアクセス許可を割り当てることができます。このアカウントは、管理者資格情報を必要とするタスクでのみ使用してください。このアカウントは強力なパスワードを指定して設定することをお勧めします。

Administrator アカウントは、Active Directory の Administrators、Domain Admins、Enterprise Admins、Group Policy Creator Owners、および Schema Admins グループの既定のメンバーです。

Administrator アカウントは、Administrators グループから削除したり除去したりすることができませんが、名前を変更したり、無効にしたりすることはできます。Administrator アカウントは多くのバージョンの Windows に存在することが知られているため、このアカウントを無効にするか名前を変更することで、悪意のあるユーザーからのアクセスを防ぐことができます。

Administrator アカウントは、Active Directory ドメイン サービス インストール ウィザードで新しいドメインを設定するときに最初に作成されるアカウントです。

重要

Administrator アカウントは、無効になっていても、セーフ モードでドメイン コントローラーにアクセスするときに使用できます。

Guest

そのドメインに実際のアカウントを持っていない人は Guest アカウントを使用できます。アカウントが無効になっている (ただし削除はされていない) ユーザーでも、Guest アカウントは使用できます。Guest アカウントではパスワードは要求されません。

Guest アカウントには、他のユーザー アカウントと同じように、権利とアクセス許可を設定できます。既定では、Guest アカウントは、組み込みの Guests グループと Domain Guests グローバル グループのメンバーです。これらのグループは、ドメインにログオンする権利をユーザーに付与するためのものです。既定では Guest アカウントは無効になっており、無効のままにしておくことをお勧めします。

HelpAssistant (リモート アシスタンス セッションでインストール)

HelpAssistant アカウントは、リモート アシスタンス セッションを確立するためのプライマリ アカウントです。このアカウントは、リモート アシスタンス セッションを要求すると自動的に作成されます。このアカウントは、コンピューターに対する限定的なアクセス権を持ちます。Remote Desktop Help Session Manager サービスが HelpAssistant アカウントを管理します。保留になっているリモート アシスタンス要求がない場合、このアカウントは自動的に削除されます。

ユーザー アカウントを保護する

ネットワーク管理者が組み込みアカウントの権利やアクセス許可を変更していないと、悪意のあるユーザーやサービスがこれらの権利やアクセス許可を利用し、Administrator アカウントまたは Guest アカウントでドメインに不法にログオンする可能性があります。これらのアカウントを保護するため、アカウントの名前を変更したり、アカウントを無効化したりすることをお勧めします。アカウントの名前を変更しても、アカウントのセキュリティ識別子 (SID) は変わらないので、説明、パスワード、グループ メンバーシップ、ユーザー プロファイル、アカウント情報、そのアカウントに与えられたアクセス許可と権利など、名前以外のすべての属性は引き継がれます。

ユーザー認証とユーザー承認というセキュリティ機能を得るには、Active Directory 管理センターを使用して、ネットワークに参加するすべてのユーザーに個別のユーザー アカウントを作成します。その後で、各ユーザー アカウント (Administrator アカウントと Guest アカウントを含む) をグループに追加して、アカウントに割り当てられる権利やアクセス許可を制御できます。ネットワークに適したアカウントとグループを設定したら、ネットワークにログオンするユーザーを識別できること、およびそれらのユーザーが許可されたリソースにのみアクセスできることを確認します。

ログオンの際に強力なパスワードを要求し、アカウント ロックアウトのポリシーを実装すると、ドメインを攻撃から防御するのに役立ちます。強力なパスワードの入力を要求することによって、巧妙なパスワード推測やパスワードに対する辞書攻撃のリスクを減らすことができます。アカウント ロックアウトのポリシーを実装すると、繰り返しログオンを試行する攻撃者によってドメインが危険に晒される可能性が減少します。アカウント ロックアウトのポリシーでは、ログオンが何回失敗するとそのユーザー アカウントが無効化されるかを定義します。

InetOrgPerson アカウント

Active Directory ドメイン サービス (AD DS) は、InetOrgPerson オブジェクト クラスと、RFC (Request for Comments) 2798 で定義されている関連属性をサポートします。InetOrgPerson オブジェクト クラスは、いくつかのマイクロソフト以外のライトウェイト ディレクトリ アクセス プロトコル (LDAP) および X.500 ディレクトリ サービスで、組織内の人々を表すために使用されます。

InetOrgPerson のサポートによって、他の LDAP ディレクトリから AD DS への移行が効率化されます。InetOrgPerson オブジェクトは、user クラスから派生し、user クラスのオブジェクトと同様にセキュリティ プリンシパルとして機能できます。InetOrgPerson ユーザー アカウントの作成方法の詳細については、「新しいユーザー アカウントを作成する」を参照してください。

ドメインの機能レベルが Windows Server 2008 または Windows Server 2008 R2 に設定されている場合は、unicodePwd 属性と同様に、userPassword 属性を InetOrgPerson とユーザー オブジェクトの有効なパスワードとして設定できます。

その他の参照情報


目次