ユーザー/グループのアカウントの作成と管理

  • [アーティクル]

ユーザー アカウント

最終更新日: 2002年12月27日

トピック

ユーザー アカウントの作成
ユーザー アカウントの削除
ユーザー パスワードのリセット
アカウント プロパティの変更
ログオン時間の設定
ログオン時間経過時の自動ログオフ
アカウントの有効期限の設定
ユーザー アカウントの無効化と有効化

ユーザー アカウントの作成

次の手順でユーザー アカウントを追加します。

  1. [スタート] をクリックし、[プログラム][管理ツール] の順にポイントし、[Active Directory ユーザーとコンピュータ] をクリックします。

  2. コンソール ツリーで、ドメイン ノードをダブルクリックします。

  3. 詳細ウィンドウで、ユーザーを追加する組織単位を右クリックし、[新規作成] をポイントして、[ユーザー] をクリックします。


    拡大表示する

  4. 姓、名、イニシャルを入力します。

  5. [ユーザー ログオン名] に、ログオン時に使用する名前を入力し、ドロップダウン リストから、ユーザー ログオン名の後ろに付ける (@ 記号で始まる) ユーザー プリンシパル名 (UPN) のサフィックスを選択します。[次へ] をクリックします。

  6. [パスワード][パスワードの確認入力] にユーザーのパスワードを入力します。適切なパスワード オプションを選択して、[次へ] をクリックします。

  7. ユーザーのオブジェクト設定を確認します。すべて正しい場合は、[完了] をクリックします。

  8. このドキュメントの「ユーザー権利の設定」で説明したように、ログオン権利と特権を新しいユーザーに割り当てます。権限のある管理者はこの手順を使用し、必要に応じてログオン権利と特権を追加または削除することで、ユーザーのログオン権利と特権をいつでも変更できます。

ページのトップへ

ユーザー アカウントの削除

作成した各ユーザー アカウントは、再使用不可能な一意の SID を持っています。Windows 2000 では SID を使用して、ユーザーと、そのユーザーに割り当てられたアクセス許可を識別します。ユーザー アカウントを削除すると、削除したものと同じ名前の新規ユーザーが作成された場合でも、その SID が再度使用されることはありません。したがって、削除したユーザー アカウントを単に再作成するだけでは、リソースへのアクセスを復旧することはできません。

ユーザー アカウントは次の手順で削除できます。

  1. [スタート] をクリックし、[プログラム][管理ツール] の順にポイントし、[Active Directory ユーザーとコンピュータ] をクリックします。

  2. コンソール ツリーで [ユーザー] をクリックするか、あるいはユーザー アカウントを含むフォルダをクリックします。

  3. ユーザー アカウントを右クリックし、[削除] をクリックします。


    拡大表示する

  4. 確認ウィンドウが表示されるので、[はい] をクリックし、アカウントを削除します。

    注意 : ユーザーがネットワークにログオンしているときにアカウントが削除された場合、ログオフするまで、ネットワークへのアクセスは維持されます。

ページのトップへ

ユーザー パスワードのリセット

管理者によって許可されている場合、ユーザーは自身のパスワードを変更することができます。その際、パスワードの変更を許可する前に、確認のため古いパスワードの入力が求められます。ただし、古いパスワードをユーザーが覚えていない場合、管理者がパスワードをリセットする必要があります。権限のある管理アカウントがユーザー パスワードをリセットする場合は、古いパスワードを知っている必要はありません。

ユーザー パスワードをリセットするには、以下を実行します。

  1. [スタート] をクリックし、[プログラム][管理ツール] の順にポイントし、[Active Directory ユーザーとコンピュータ] をクリックします。

  2. コンソール ツリーで [ユーザー] をクリックするか、あるいは目的のユーザー アカウントを含むフォルダをクリックします。

  3. 詳細ウィンドウで、パスワードのリセットが必要なユーザーを右クリックし、[パスワードのリセット] をクリックします。


    拡大表示する

  4. パスワードの入力と、確認入力を行います。

  5. 次回ログオン時に、ユーザーがこのパスワードを変更する必要がある場合、[ユーザーは次回ログオン時にパスワード変更が必要] チェックボックスをオンします。

ページのトップへ

アカウント プロパティの変更

各アカウントのプロパティ ダイアログ ボックスには、特定のユーザーのさまざまなプロパティを設定できるタブが含まれています。既定のプロパティは、作成された各ドメイン ユーザー アカウントとローカル ユーザー アカウントに関連付けられています。ドメイン ユーザー アカウントには、ローカル ユーザー アカウントより多くのプロパティがあります。ローカル ユーザー アカウントのプロパティは、ドメイン ユーザー アカウントのプロパティの小さいサブセットとして表示されます。

ドメイン ユーザー アカウントは次の手順で変更できます。

  1. [Active Directory ユーザーとコンピュータ] スナップインを開きます。

  2. 変更するアカウントの含まれたフォルダを選択します。

  3. 詳細ウィンドウで、プロパティを変更するユーザー オブジェクトをダブルクリックします (またはユーザー オブジェクトを右クリックし、[プロパティ] を選択します)。以下のような種類のドメイン ユーザー アカウントのプロパティ ウィンドウが表示されます。

ドメイン ユーザー アカウントに定義されたプロパティを使用して、Active Directory ストア内のユーザーを検索することができます。たとえば、名と電話番号がわかっているユーザーの姓を調べたい場合、電話番号を入力し、姓を検索します。

ローカル ユーザー アカウントは次の手順で変更できます。

  1. Windows 2000 Professional またはスタンドアロン サーバーの [コンピュータの管理] スナップインを開きます。

  2. [ローカル ユーザーとグループ] フォルダを展開します。

  3. [ユーザー] フォルダを選択し、プロパティを変更するユーザー オブジェクトをダブルクリックします (またはユーザー オブジェクトを右クリックし、[プロパティ] を選択します)。以下のような種類のローカル ユーザー アカウントのプロパティ ウィンドウが表示されます。

[プロパティ] ダイアログ ボックス

このサブセクションでは、変更できる各プロパティ タブについて説明します。ドメイン ユーザー アカウントには、以下に説明したすべてのタブが適用されます。ローカル ユーザー アカウントの場合、[全般][ダイヤルイン] (スタンドアロン サーバー)、[所属するグループ]、および [プロファイル] タブのみが表示されます。

  • 個人情報プロパティのタブ : 個人情報プロパティのタブとして、[全般][住所][電話][組織] タブがあります。それぞれのタブの属性を完成させることで、Active Directory 内の他のユーザーを探すことができます。次の表は個人情報プロパティのタブについて説明しています。
タブ 説明
全般 このタブはユーザーの名前、説明、事業所、電話、電子メール、Web ページといった情報の記述に使用します。
住所 このタブはユーザーの番地、私書箱、市区町村、都道府県、郵便番号、および国の記述に使用します。
電話 このタブはユーザーの自宅電話番号、ポケットベル番号、携帯電話番号、ファックス番号、および IP 電話番号の記述、ならびにコメントの追加に使用します。
組織 このタブはユーザーの役職、部署、会社の責任者、直属の部下の記述に使用します。
- **\[アカウント\] タブ** : **\[アカウント\]** タブでは、ユーザーのログオン名のほか、ユーザー アカウントのアカウント オプションを設定できます。このオプションの一部は、Active Directory にユーザー アカウントを作成したときに既定で設定されます。既定の設定の変更や、追加設定も可能です。 - **\[プロファイル\] タブ** : ユーザー プロファイルは、各ユーザーのローカル コンピュータでの作業環境に応じて、自動的にデスクトップ設定を作成し管理します。**\[プロファイル\]** タブでは、ユーザー プロファイルの保存場所へのパスを設定することができます。また、ログオン スクリプトとホーム フォルダをユーザー アカウントに割り当てることができます。 - **\[公開された証明書\] タブ** : 証明書は、インターネットなどの安全でないネットワーク上で交換する情報の認証とセキュリティ保護に使用するデータの集まりです。証明書は公開暗号キーを、対応する秘密キーの保存されたエンティティと安全に結び付けます。**\[公開された証明書\]** タブでは、ユーザー アカウント用の X.509 証明書のリストを作成できます。 - **\[所属するグループ\] タブ** : **\[所属するグループ\]** タブでは、ユーザーのグループ メンバシップを変更できます。 - **\[ダイヤルイン\] タブ** : **\[ダイヤルイン\]** タブでは、遠隔地からネットワークにダイヤルイン接続する方法を制御できます。 - **\[オブジェクト\] タブ** : **\[オブジェクト\]** タブには、オブジェクトの完全修飾ドメイン名が表示されます。また、オブジェクト クラス、作成日と変更日、元の USN (Unique Sequence Number)、および現在の USN などの追加情報も表示されます。USN は Active Directory 内のオブジェクトの変更を追跡するのに使用します。 - **\[セキュリティ\] タブ** : **\[セキュリティ\]** タブは、Active Directory 内のユーザー オブジェクトにアクセス許可を設定する場合に使用します。このタブを使って、ドメイン内のグループまたはユーザーに対する特定のアクセス許可を許可または拒否することができます。そのほか、詳細なアクセス許可の設定や、Active Directory での親オブジェクトからユーザー オブジェクトへのアクセス許可継承の許可または拒否もできます。 - **ターミナル サービスのタブ : ターミナル** サービスのタブとして、 ***\[環境\]*** 、 ***\[セッション\]*** 、 ***\[リモート制御\]*** 、 ***\[ターミナル サービスのプロファイル\]*** タブがあります。**ターミナル サービス**のタブには、ターミナル サービス専用のユーザー情報が含まれています。ターミナル サービスを使うと、コンピュータ端末からログオンし、端末上で Windows 2000 セッションを実行することができます。**ターミナル サービス** タブの情報には、ログオン可能な時間と条件、固有のデスクトップ設定を保存する方法などがあります。 [](#mainsection)[ページのトップへ](#mainsection) ### ログオン時間の設定 ログオン時間を設定するには、次の手順を実行します。 1. **Active Directory ユーザーとコンピュータ\]** の **\[プロパティ\]** ダイアログ ボックスを開き、**\[アカウント\]** タブを選択します。 2. **\[ログオン時間\]** ボタンをクリックします。表示された **\[ログオン時間\]** ダイアログ ボックスを使用して、有効および無効にするログオン時間を設定します。このダイアログボックスの昼夜の各時間帯フィールドは、オン/オフを切り替えることができます。時間設定を変更するには、フィールドをクリックし、**\[ログオン可能\]** または **\[ログオン不可\]** のオプション ボタンのいずれかを選択します。 - ログオン可能な時間帯は濃く塗りつぶされます。 - 不可能な時間帯は空白になります。 ![](images/Dd362978.w2kab082(ja-jp,TechNet.10).gif) 3. ユーザーのログオンを許可する前に、ログオンの制限を確認するには、「Kerberos ポリシーの設定」で説明したように、**\[Kerberos ポリシー\]** の **\[ユーザー ログオンの制限を強制する\]** 設定が有効になっているか確認します。 [](#mainsection)[ページのトップへ](#mainsection) ### ログオン時間経過時の自動ログオフ ログオン時間が経過したユーザーを強制的に切断するには、先のサブセクションで説明したように、次の手順を実行します。 1. ドメインのメンバであるユーザーを強制的に切断するには、**\[ドメイン セキュリティ ポリシー\]** インターフェイスを開き、「セキュリティ オプションの設定」の手順に従って、**\[ローカル ポリシー\]** を展開し、**\[セキュリティ オプション\]** を開きます。 2. **\[ログオン時間を経過した場合は自動的にユーザーをログオフする\]** オプションをダブルクリックするか、あるいはそれを右クリックし、**\[セキュリティ\]** を選択します。オプションを選択するための **\[セキュリティ ポリシー設定\]** ダイアログ ボックスが開きます。 ![](images/Dd362978.w2kab083(ja-jp,TechNet.10).gif) 3. **\[このポリシーの設定を定義する\]** をオンにし、**\[有効\]** ラジオ ボタンを選択します。 4. **\[OK\]** をクリックし、選択したオプションを設定します。 **注意** : **\[ログオン時間を経過した場合は自動的にユーザーをログオフする\]** オプションは、ドメインに所属するアプリケーション用ドメイン コントローラのみで利用可能です。単独のコンピュータのポリシーをローカルに設定するには、特定のコンピュータ上で **\[ログオン時間が時間切れになった場合、自動的にユーザーをログオフする (ローカル)\]** オプションを使用します。 [](#mainsection)[ページのトップへ](#mainsection) ### アカウントの有効期限の設定 #### ユーザー アカウントのアカウント有効期限を設定する手順 1. **\[Active Directory ユーザーとコンピュータ\]** でユーザーの **\[プロパティ\]** ダイアログ ボックスを開き、**\[アカウント\]** タブを選択します。 2. **\[アカウントの期限\]** の下にある **\[有効期限:\]** ラジオ ボタンを選択します。 3. 日付を表示するドロップダウン メニュー ボックスの矢印を選択すると、現在の日付が表示されたカレンダー ウィンドウが開きます。このカレンダーを使用して、アカウントの有効期限日を選択します。カレンダーを次に進める矢印 (右向き矢印) を使って、以降の月を選択し、希望する日付をクリックします。 4. **\[適用\]** ボタンをクリックし、**\[OK\]** をクリックして、ユーザーの **\[プロパティ\]** ダイアログ ボックスを閉じます。 [](#mainsection)[ページのトップへ](#mainsection) ### ユーザー アカウントの無効化と有効化 ユーザー アカウントを無効にするには、次の手順を実行します。 1. **\[スタート\]** をクリックし、**\[プログラム\]**、**\[管理ツール\]** の順にポイントし、**\[Active Directory ユーザーとコンピュータ\]** をクリックします。 2. コンソール ツリーで、**\[ユーザー\]** をクリックするか、あるいは目的のユーザー アカウントを含むフォルダをクリックします。 3. 詳細ウィンドウで、ユーザーを右クリックします。 4. 次のように **\[アカウントを無効にする\]** をクリックします。 ![](images/Dd362978.w2kab084(ja-jp,TechNet.10).gif) ユーザー アカウントを有効にするには、次の手順を実行します。 1. **\[スタート\]** をクリックし、**\[プログラム\]**、**\[管理ツール\]** の順にポイントし、**\[Active Directory ユーザーとコンピュータ\]** をクリックします。 2. コンソール ツリーで、**\[ユーザー\]** をクリックするか、あるいは目的のユーザー アカウントを含むフォルダをクリックします。 3. 詳細ウィンドウで、ユーザーを右クリックします。 4. 次のように **\[アカウントを有効にする\]** をクリックします。 ![](images/Dd362978.w2kab085s(ja-jp,TechNet.10).gif) [拡大表示する](https://technet.microsoft.com/ja-jp/dd362978.w2kab085(ja-jp,technet.10).gif) [](#mainsection)[ページのトップへ](#mainsection)