Active Directory のユーザー アカウントは、人などの物理的なエンティティを表します。また、ユーザー アカウントを一部のアプリケーション専用のサービス アカウントとして使用することもできます。
ユーザー アカウントはセキュリティ プリンシパルと呼ばれることもあります。セキュリティ プリンシパルは、セキュリティ識別子 (SID) を自動的に割り当てられるディレクトリ オブジェクトで、ドメイン リソースへのアクセスに使用できます。ユーザー アカウントの主要な機能は次のとおりです。
-
ユーザーの身元を証明します。
ユーザーは、ドメインが認証できる ID を持つユーザー アカウントを使用して、コンピューターやドメインにログオンできます。ネットワークにログオンするすべてのユーザーが、それぞれ固有のユーザー アカウントとパスワードを持っている必要があります。最大限のセキュリティを確保するため、複数のユーザーが 1 つのアカウントを共有することは避けてください。
-
ドメイン リソースへのアクセスを許可または拒否します。
認証の後で、そのユーザーに明示的に割り当てられているアクセス許可に基づいて、ドメイン リソースへのアクセスが許可または拒否されます。
ユーザー アカウント
Active Directory ユーザーとコンピューターのスナップインの [Users] コンテナーには、3 つの組み込みユーザー アカウント、Administrator、Guest、および HelpAssistant が表示されます。これらの組み込みユーザー アカウントは、ドメインの作成時に自動的に作成されます。
組み込みアカウントには、それぞれ異なる権利とアクセス許可の組み合わせが割り当てられています。Administrator アカウントにはそのドメインにおける最も広範な権利とアクセス許可が割り当てられていますが、Guest アカウントには限られた権利とアクセス許可しか割り当てられていません。Windows Server® 2008 R2 オペレーティング システムを実行するドメイン コントローラー上の既定のユーザー アカウントについて、次の表で説明します。
既定のユーザー アカウント | 説明 | ||||
---|---|---|---|---|---|
Administrator |
Administrator アカウントには、そのドメインに対する完全な制御権限が与えられます。このアカウントは、必要に応じて、ドメイン ユーザーにユーザー権利とアクセス制御のアクセス許可を割り当てることができます。このアカウントは、管理者資格情報を必要とするタスクでのみ使用してください。このアカウントは強力なパスワードを指定して設定することをお勧めします。 Administrator アカウントは、Active Directory の Administrators、Domain Admins、Enterprise Admins、Group Policy Creator Owners、および Schema Admins グループの既定のメンバーです。Administrator アカウントは、Administrators グループから削除したり除去したりすることができませんが、名前を変更したり、無効にしたりすることはできます。Administrator アカウントは多くのバージョンの Windows に存在することが知られているため、このアカウントを無効にするか名前を変更することで、悪意のあるユーザーからのアクセスを防ぐことができます。 Administrator アカウントは、Active Directory ドメイン サービス インストール ウィザードで新しいドメインを設定するときに最初に作成されるアカウントです。
| ||||
Guest |
そのドメインに実際のアカウントを持っていない人は Guest アカウントを使用できます。アカウントが (削除されていなくても) 無効になっているユーザーでも、Guest アカウントを使用できます。Guest アカウントではパスワードは要求されません。 Guest アカウントには、他のユーザー アカウントと同じように、権利とアクセス許可を設定できます。既定では、Guest アカウントは、組み込みの Guests グループと Domain Guests グローバル グループのメンバーです。これらのグループは、ドメインにログオンする権利をユーザーに付与するためのものです。既定では Guest アカウントは無効になっており、無効のままにしておくことをお勧めします。 | ||||
HelpAssistant (リモート アシスタンス セッションでインストール) |
リモート アシスタンス セッションを確立するためのプライマリ アカウントです。このアカウントは、リモート アシスタンス セッションを要求すると自動的に作成されます。このアカウントは、コンピューターに対する限定的なアクセス権を持ちます。HelpAssistant アカウントは、Remote Desktop Help Session Manager サービスが管理します。保留になっているリモート アシスタンス要求がない場合、このアカウントは自動的に削除されます。 |
ユーザー アカウントを保護する
組み込みのアカウントの権利やアクセス許可がネットワーク管理者によって変更または無効化されていないと、Administrator アカウントや Guest アカウントを使用して悪意のあるユーザーやサービスがドメインに不法にログオンするため、それらの権利やアクセス許可が使用されることがあります。これらのアカウントを保護するため、アカウントの名前を変更したり、アカウントを無効化したりすることをお勧めします。アカウントの名前を変更しても、アカウントのセキュリティ識別子 (SID) は変わらないので、説明、パスワード、グループ メンバーシップ、ユーザー プロファイル、アカウント情報、そのアカウントに与えられたアクセス許可と権利など、名前以外のすべての属性は引き継がれます。
ユーザー認証とユーザー承認というセキュリティ機能を得るには、[Active Directory ユーザーとコンピューター] を使用して、ネットワークに参加するすべてのユーザーに個別のユーザー アカウントを作成します。その後で、各ユーザー アカウント (Administrator アカウントと Guest アカウントを含む) をグループに追加して、アカウントに割り当てられる権利やアクセス許可を制御できます。ネットワークに適したアカウントとグループを設定したら、ネットワークにログオンするユーザーを識別できること、およびそれらのユーザーが許可されたリソースにのみアクセスできることを確認します。
ログオンの際に強力なパスワードを要求し、アカウント ロックアウトのポリシーを実装すると、ドメインを攻撃から防御するのに役立ちます。強力なパスワードの入力を要求することによって、巧妙なパスワード推測やパスワードに対する辞書攻撃のリスクを減らすことができます。アカウント ロックアウトのポリシーを実装すると、繰り返しログオンを試行する攻撃者によってドメインが危険に晒される可能性が減少します。アカウント ロックアウトのポリシーでは、ログオンが何回失敗するとそのユーザー アカウントが無効化されるかを定義します。
アカウント オプション
Active Directory の各ユーザー アカウントには、そのユーザー アカウントでログオンする人がネットワーク上でどのように認証されるのかを決める、アカウント オプションがあります。次の表に示すオプションを使用して、ユーザー アカウントのパスワード設定とセキュリティ関連情報を構成できます。
アカウント オプション | 説明 |
---|---|
ユーザーは次回ログオン時にパスワード変更が必要 |
そのユーザーが次回ネットワークにログオンするときに、パスワードを変更するように要求します。パスワードを知っているのがそのユーザーだけであることを保証するには、このオプションを有効にします。 |
ユーザーはパスワードを変更できない |
ユーザーがパスワードを変更できないようにします。Guest アカウントや一時的なアカウントなどのユーザー アカウントに対する制御権限を維持する場合は、このオプションを選択します。 |
パスワードを無期限にする |
ユーザー パスワードの有効期限が切れないようにします。サービス アカウントについてはこのオプションを有効にし、強力なパスワードを使用することをお勧めします。 |
暗号化を元に戻せる状態でパスワードを保存する |
ユーザーが Apple コンピューターから Windows ネットワークにログオンできるようにします。ユーザーが Apple コンピューターからログオンするのでない場合は、このオプションを有効にしません。 |
アカウントは無効 |
選択したアカウントを使用してユーザーがログオンできないようにします。多くの管理者は、無効化したアカウントを一般的なユーザー アカウントのテンプレートとして使用します。 |
対話型ログオンにはスマート カードが必要 |
ユーザーがネットワークに対話的にログオンするときには、スマート カードを必要とするようにします。ユーザーは、コンピューターにスマート カード リーダーを取り付け、そのスマート カード用の有効な暗証番号 (PIN) を入力する必要もあります。このオプションが有効になっている場合、そのユーザー アカウントのパスワードはランダムで複雑な値に自動的に設定され、[パスワードを無期限にする] が設定されます。 |
アカウントは委任に対して信頼されている |
このアカウントで実行されているサービスがネットワーク上の他のユーザー アカウントの代わりに操作を実行できるようにします。ユーザー アカウントで実行されているサービス (サービス アカウント) が委任に対して信頼されている場合は、クライアントになり代わって、サービスが実行されているコンピューター上のリソースや他のコンピューター上のリソースにアクセスすることができます。機能レベルが Windows Server 2008 R2 に設定されているフォレストの場合、このオプションは [委任] タブにあります。このオプションを使用できるのは、Windows Server 2008 R2 の setspn コマンド (コマンド プロンプトを開き「setspn」と入力) で設定されるサービス プリンシパル名 (SPN) が割り当てられているアカウントだけです。これはセキュリティ上の注意が必要な機能であるため、慎重に割り当てるようにしてください。 このオプションは、Windows Server 2008 R2 を実行している、ドメインの機能レベルが Windows® 2000 混在または Windows 2000 ネイティブに設定されているドメイン コントローラーでのみ使用できます。Windows Server 2008 および Windows Server 2008 R2 を実行しているドメイン コントローラーで、ドメインの機能レベルが Windows Server 2008 または Windows Server 2008 R2 フォレスト機能レベルに設定されている場合は、ユーザー プロパティのダイアログ ボックスの [委任] タブを使用して委任設定を構成します。[委任] タブは、SPN を割り当てられているアカウントに対してのみ表示されます。 |
アカウントは重要なので委任できない |
このオプションは、Guest アカウントや一時的なアカウントなどのアカウントに他のアカウントが委任を割り当てることができない場合に使用します。 |
このアカウントに Kerberos DES 暗号化を使う |
データ暗号化標準 (DES) のサポートを提供します。DES は、Microsoft Point-to-Point Encryption (MPPE) Standard (40 ビット)、MPPE Standard (56 ビット)、MPPE Strong (128 ビット)、インターネット プロトコル セキュリティ (IPsec) DES (40 ビット)、IPsec 56 ビット DES、IPsec Triple DES (3DES) など、複数の暗号化レベルに対応します。 |
Kerberos 事前認証を必要としない |
Kerberos プロトコルの別の実装に対するサポートを提供します。ただし、Kerberos 事前認証ではセキュリティが強化され、クライアントとサーバーとの間の時間の同期も必要となるため、このオプションを有効にする際には注意が必要です。 |
InetOrgPerson アカウント
Active Directory ドメイン サービス (AD DS) は、InetOrgPerson オブジェクト クラスと、RFC (Request for Comments) 2798 で定義されている関連属性をサポートします。InetOrgPerson オブジェクト クラスは、いくつかのマイクロソフト以外のライトウェイト ディレクトリ アクセス プロトコル (LDAP) および X.500 ディレクトリ サービスで、組織内の人々を表すために使用されます。
InetOrgPerson のサポートによって、他の LDAP ディレクトリから AD DS への移行が効率化されます。InetOrgPerson オブジェクトは、user クラスから派生し、user クラスと同様にセキュリティ プリンシパルとして機能できます。InetOrgPerson ユーザー アカウントの作成方法の詳細については、「新しいユーザー アカウントを作成する」を参照してください。
ドメインの機能レベルが Windows Server 2008 または Windows Server 2008 R2 に設定されている場合は、unicodePwd 属性と同様に、userPassword 属性を InetOrgPerson とユーザー オブジェクトの有効なパスワードとして設定できます。