この手順を実行するには、最低限でも Account Operators、Domain Admins、Enterprise Admins、またはそれと同等のメンバーシップが必要です。 適切なアカウントおよびグループ メンバーシップの使用の詳細については、
 | 証明書をユーザー アカウントにマップするには |
[Active Directory ユーザーとコンピューター] を開くには、[スタート] ボタン、[コントロール パネル] の順にクリックし、[管理ツール] をダブルクリックして、[Active Directory ユーザーとコンピューター] をダブルクリックします。
[表示] メニューの [拡張機能] を選択します。
コンソール ツリーで、[ユーザー] をクリックします。
場所 :
-
Active Directory ユーザーとコンピューター/ドメイン ノード/ユーザー
または、ユーザー アカウントが含まれているフォルダーをクリックします。
-
Active Directory ユーザーとコンピューター/ドメイン ノード/ユーザー
詳細ウィンドウで、証明書をマップするユーザー アカウントを右クリックし、[名前のマッピング] をクリックします。
[セキュリティ ID マッピング] ダイアログ ボックスの [X.509 証明書] タブの [追加] をクリックします。
このユーザー アカウントにマップする証明書が含まれている .cer ファイルの名前とパスを入力し、[開く] をクリックします。
次のいずれかの操作を行います。
-
証明書を 1 つのアカウントにマップする (1 対 1 のマッピング) には、[代替のセキュリティ ID に発行者を使う] チェック ボックスと [代替のセキュリティ ID にサブジェクトを使う] チェック ボックスの両方をオンにします。
-
証明書の発行者には関係なく、同じサブジェクトを持つすべての証明書をそのユーザー アカウントにマップする (多対 1 のマッピング) には、[代替のセキュリティ ID に発行者を使う] チェック ボックスをオフにし、[代替のセキュリティ ID にサブジェクトを使う] チェック ボックスをオンにします。
-
証明書のサブジェクトには関係なく、発行者が同じすべての証明書をそのユーザー アカウントにマップする (多対 1 のマッピング) には、[代替のセキュリティ ID にサブジェクトを使う] チェック ボックスをオフにし、[代替のセキュリティ ID に発行者を使う] チェック ボックスをオンにします。
-
証明書を 1 つのアカウントにマップする (1 対 1 のマッピング) には、[代替のセキュリティ ID に発行者を使う] チェック ボックスと [代替のセキュリティ ID にサブジェクトを使う] チェック ボックスの両方をオンにします。
その他の考慮事項
-
この手順を実行するには、Active Directory ドメイン サービス (AD DS) の Account Operators グループ、Domain Admins グループ、または Enterprise Admins グループのいずれかのメンバーであるか、または適切な権限が委任されている必要があります。セキュリティを考慮するうえで最適な方法として、この手順を実行するときに [別のユーザーとして実行] を使うことを検討してください。
-
[Active Directory ユーザーとコンピューター] を開くには、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックして「dsa.msc」と入力する方法もあります。
-
ユーザー アカウントにマップする証明書は、DER (Distinguished Encoding Rules) エンコードまたは Base64 エンコードされたバイナリ形式であることが必要です。
-
[セキュリティ ID マッピング] ダイアログ ボックスは、ユーザー アカウントを右クリックし、[名前のマッピング] をクリックして開くこともできます。