ユーザーの名前付け属性

  • [アーティクル]

ユーザーの名前付け属性は、セキュリティ目的で使用されるログオン名や ID など、ユーザー オブジェクトを識別します。 cnname、distinguishedName 属性は、ユーザーの名前付け属性の例です。 ユーザー オブジェクトはセキュリティ プリンシパル オブジェクトであるため、次のユーザー名前付け属性も含まれます。

  • userPrincipalName — ユーザーのログオン名
  • objectGUID — ユーザーの一意識別子
  • sAMAccountName — 以前のバージョンの Windows をサポートするログオン名
  • objectSid — ユーザーのセキュリティ識別子 (SID)
  • sIDHistory — ユーザー オブジェクトの前の SID

Note

これらの属性は、Active Directory ユーザーとコンピューター MMC スナップインを使用して表示および管理できます。このスナップインは、リモート サーバー 管理istration Tools (RSAT)使用できます。

 

userPrincipalName

userPrincipalName 属性は、ユーザーのログオン名です。 この属性は、Windows ユーザーに最も一般的なログオン名であるユーザー プリンシパル名 (UPN) で構成されます。 ユーザーは通常、UPN を使用して doメイン にログオンします。 この属性は、単一値のインデックス付き文字列です。

UPN は、インターネット標準 RFC 822 に基づくユーザーのインターネット スタイルのログイン名です。 UPN は識別名よりも短く、覚えやすいです。 慣例により、これはユーザーの電子メール名にマップされます。 UPN のポイントは、電子メールとログオンの名前空間を統合して、ユーザーが 1 つの名前のみを覚えておく必要がないようにすることです。

UPN 形式

UPN は、UPN プレフィックス (ユーザー アカウント名) と UPN サフィックス (DNS ドメイン名) とから成ります。 プレフィックスとサフィックスは、"@" 記号を使用して結合されます たとえば、"someone@ example.com" などです。 UPN は、ディレクトリ フォレスト内のすべてのセキュリティ プリンシパル オブジェクトの中で一意であることが必要です。 つまり、同じサフィックスではなく、UPN のプレフィックスを再利用できます。

UPN サフィックスには、次の制限があります。

  • doメイン の DNS 名である必要がありますが、ユーザーを含む doメイン の名前である必要はありません。
  • 現在の doメイン フォレスト内の doメイン の名前、または構成コンテナー内の Partitions コンテナーの upnSuffixes 属性に一覧表示されている代替名である必要があります。

UPN 管理

UPN は割り当てることができますが、ユーザー アカウントの作成時には必須ではありません。 UPN が作成されると、名前の変更や移動などのユーザー オブジェクトの他の属性への変更の影響を受けません。 これにより、ディレクトリが再構築された場合でも、ユーザーは同じログイン名を保持できます。 ただし、管理者は UPN を変更できます。 新しいユーザー オブジェクトを作成するときは、提案された名前のローカル doメイン とグローバル カタログをチェックして、存在しないことを確認する必要があります。

ユーザーが UPN を使用して do にログオンするとメインローカル doメイングローバル カタログを検索して UPN が検証されます。 UPN がグローバル カタログに見つからない場合、ログオンの試行は失敗します。

objectGUID

objectGUID 属性は、ユーザーの一意識別子です。 この属性は、単一値の 128 ビットグローバル一意識別子 (GUID) であり、ADS_OCTET_STRING構造体として格納されます。 GUID は、ユーザー オブジェクトの作成時に Active Directory サーバーによって作成されます。

オブジェクトの名前を変更または移動すると、オブジェクトの識別名が変更されるため、識別名はオブジェクトの信頼できる識別子ではありません。 Active Directory ドメイン Services では、オブジェクトの名前が変更または移動された場合でも、オブジェクトの objectGUID 属性は変更されません。 IADs プロパティ メソッドの GUID プロパティ メソッドを使用して、objectGUID の文字列形式を取得できます。

sAMAccountName

sAMAccountName 属性は、Windows NT 4.0、Windows 95、Windows 98、LAN Manager など、以前のバージョンの Windows のクライアントとサーバーをサポートするために使用されるログオン名です。 ログオン名は 20 文字以下で、doメイン 内のすべてのセキュリティ プリンシパル オブジェクト間で一意である必要があります。

objectSid

objectSid 属性は、ユーザーのセキュリティ識別子 (SID) です。 SID は、Windows セキュリティとの対話中にユーザーとそのグループ メンバーシップを識別するためにシステムによって使用されます。 属性は単一値です。 SID は、ユーザーをセキュリティ プリンシパルとして識別するために使用される一意のバイナリ値です。

SID は、ユーザーの作成時にシステムによって設定されます。 各ユーザーは、Windows doメイン によって発行された一意の SID を持ち、ディレクトリ内のユーザー オブジェクトの objectSid 属性に格納されます。 ユーザーがログオンするたびに、システムはディレクトリからユーザーの SID を取得し、ユーザーのアクセス トークンに配置します。 ユーザーの SID は、ユーザーがメンバーであるグループの SID を取得し、ユーザーのアクセス トークンに配置するためにも使用されます。 SID がユーザーまたはグループの一意識別子として使用されている場合、別のユーザーまたはグループを識別するために再度使用することはできません。

Sidhistory

sIDHistory 属性には、ユーザー オブジェクトの以前の SID が含まれています。 これは複数値の属性です。 ユーザー が別の do に移動された場合、ユーザー オブジェクトには以前の SID が含メイン。 ユーザー オブジェクトが新しい do に移動されるたびにメイン新しい SID が作成され、objectSid 属性が割り当てられ、前の SID が sIDHistory 属性に追加されます。

ユーザー オブジェクト属性