項目 詳細

[ユーザー UPN ログオン]

左側のテキスト ボックスに、このユーザーのアカウント名を入力します。入力するのは、ユーザーが Active Directory ドメインへのログオンに使用する名前です。

右側にあるボックスの一覧には、ユーザーのログオン名を作成するときに使用できるユーザー プリンシパル名 (UPN) サフィックスが表示されます。この一覧には、現在のドメインの完全なドメイン ネーム システム (DNS) 名、現在のフォレストのルート ドメインの完全な DNS 名、および Active Directory ドメインと信頼関係スナップインで作成される代替 UPN サフィックスが表示されます。

[ユーザー SAM アカウント名ログオン]

左側にある読み取り専用のテキスト ボックスには、Windows 2000 より前のオペレーティング システムを実行するコンピューターが使用するドメイン名が表示されます。

右側のテキスト ボックスには、ユーザーの Windows 2000 より前のログオン名を入力します。

[誤って削除されないように保護する] チェック ボックス

このオプションをオンにすると、オブジェクトとその親オブジェクト (該当する場合) のセキュリティ記述子が更新され、このドメインおよびドメイン コントローラーのすべての管理者またはユーザーは、このオブジェクトを削除できなくなります。

この設定を行っても、保護されたオブジェクトが含まれているサブツリーを誤って削除してしまうことは防げません。そのため、すべての保護されているオブジェクトのコンテナーについて、ドメイン名前付けコンテキストの一番上まで、この設定を有効にすることをお勧めします。

[ログオン時間]

選択したオブジェクトがドメインにログオンできる時間を変更します。既定では、すべての曜日で 24 時間、ドメインにログオンできます。このコントロールによる指定は、ドメイン アカウントではなくローカル コンピューター アカウントを使用してローカルにコンピューターにログオンする場合には適用されません。

[ログオン先]

このユーザーがドメイン内の指定されたコンピューターにのみログオンできるようにする、ワークステーションのログオン制限を指定します。既定では、ユーザーはドメインに参加しているすべてのワークステーション コンピューターでログオンできます。このコントロールによる指定は、ドメイン アカウントではなくローカル コンピューター アカウントを使用してローカルにコンピューターにログオンする場合には適用されません。

[アカウントの期限]

このユーザーのアカウントの期限に関するポリシーを設定します。次のいずれかの方法で設定できます。

  • 選択したアカウントの期限を設定しない場合は、[なし] を選択します。新規ユーザーの場合は、これが既定値です。

  • 指定した日にユーザーのアカウントの期限が切れるようにするには、[有効期限] を選択し、日付を選択します。

[パスワードのオプション]

Active Directory ユーザー アカウントのパスワード オプションは次のとおりです。

  • [ユーザーは次回ログオン時にパスワード変更が必要] - そのユーザーが次回ネットワークにログオンするときに、パスワードを変更するように要求します。パスワードを知っているのがそのユーザーだけであることを保証するには、このオプションを有効にします。

  • [対話型ログオンにはスマート カードが必要] - ユーザーがネットワークに対話的にログオンするときには、スマート カードを必要とするようにします。ユーザーは、コンピューターにスマート カード リーダーを取り付け、そのスマート カード用の有効な暗証番号 (PIN) を入力する必要もあります。

  • [パスワードを無期限にする] - ユーザー パスワードの有効期限が切れないようにします。サービス アカウントについてはこのオプションを有効にし、強力なパスワードを使用することをお勧めします。

  • [ユーザーはパスワードを変更できない] - ユーザーがパスワードを変更できないようにします。Guest アカウントや一時的なアカウントなどのユーザー アカウントに対する制御権限を維持する場合は、このオプションを選択します。

[暗号化のオプション]

Active Directory ユーザー アカウントの暗号化のオプションは次のとおりです。

  • [暗号化を元に戻せる状態でパスワードを保存する] - ユーザーが Apple コンピューターから Windows ネットワークにログオンできるようにします。ユーザーが Apple コンピューターからログオンするのではない場合は、このオプションを有効にしません。

  • [このアカウントに Kerberos DES 暗号化を使う] - データ暗号化標準 (DES) のサポートを提供します。DES は、Microsoft Point-to-Point Encryption (MPPE) Standard (40 ビット)、MPPE Standard (56 ビット)、MPPE Strong (128 ビット)、インターネット プロトコル セキュリティ (IPsec) DES (40 ビット)、IPsec 56 ビット DES、IPsec Triple DES (3DES) など、複数の暗号化レベルに対応します。

  • [このアカウントで Kerberos AES 128 ビット暗号化をサポートする]

  • [このアカウントで Kerberos AES 256 ビット暗号化をサポートする]

Kerberos 高度暗号化標準 (AES) 暗号化オプション (128 ビット オプションと 256 ビット オプションの両方) は、ドメインの機能レベルが Windows Server 2008 R2、Windows Server 2008、または Windows Server 2003 に設定されているときにのみ使用できます。AES は、米国国立標準化技術研究所 (NIST) によって規格化された新しい暗号化アルゴリズムです。Kerberos 認証の詳細については、Kerberos の詳細に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=85494) を参照してください。

[その他のオプション]

Active Directory ユーザー アカウントの追加オプションは次のとおりです。

  • [アカウントは重要なので委任できない] - このオプションは、Guest アカウントや一時的なアカウントなどのアカウントに他のアカウントが委任を割り当てることができない場合に使用します。詳細については、委任された認証の有効化に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=143007) を参照してください。

  • [Kerberos 事前認証を必要としない] - Kerberos プロトコルの別の実装に対するサポートを提供します。ただし、Kerberos 事前認証ではセキュリティが強化され、クライアントとサーバーとの間の時間の同期も必要となるため、このオプションを有効にする際には注意が必要です。詳細については、Kerberos の説明に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkID=120374) を参照してください。

その他の参照情報


目次