ユーザーの名前付け属性

ユーザーの名前付け属性は、セキュリティ目的で使用されるログオン名や ID などのユーザー オブジェクトを識別します。 cnname、および distinguishedName 属性は、ユーザーの名前付け属性の例です。 ユーザー オブジェクトはセキュリティ プリンシパル オブジェクトであるため、次のユーザー命名属性も含まれます。

  • userPrincipalName - ユーザーのログオン名
  • objectGUID — ユーザーの一意識別子
  • sAMAccountName — 以前のバージョンのWindowsをサポートするログオン名
  • objectSid — ユーザーのセキュリティ識別子 (SID)
  • sIDHistory — ユーザー オブジェクトの前の SID

注意

これらの属性は、Active Directory ユーザーとコンピューター MMC スナップインを使用して表示および管理できます。このスナップインは、 リモート サーバー管理ツール (RSAT) で使用できます。

 

userPrincipalName

userPrincipalName 属性は、ユーザーのログオン名です。 この属性は、ユーザー プリンシパル名 (UPN) で構成されます。これは、Windows ユーザーにとって最も一般的なログオン名です。 ユーザーは通常、UPN を使用してドメインにログオンします。 この属性は、単一値のインデックス付き文字列です。

UPN は、インターネット標準 RFC 822 に基づくユーザーのインターネット スタイルのログイン名です。 UPN は識別名よりも短く、覚えやすいです。 慣例により、これはユーザーの電子メール名にマップされる必要があります。 UPN のポイントは、ユーザーが単一の名前を覚えるだけで済むよう、電子メールとログオンの名前空間を統合することです。

UPN 形式

UPN は、UPN プレフィックス (ユーザー アカウント名) と UPN サフィックス (DNS ドメイン名) とから成ります。 プレフィックスとサフィックスは、"@" 記号を使用して結合されます たとえば、"someone@ example.com" です。 UPN は、ディレクトリ フォレスト内のすべてのセキュリティ プリンシパル オブジェクトの中で一意であることが必要です。 つまり、UPN のプレフィックスは、同じサフィックスではなく再利用できます。

UPN サフィックスには、次の制限があります。

  • ドメインの DNS 名である必要がありますが、ユーザーを含むドメインの名前である必要はありません。
  • これは、現在のドメイン フォレスト内のドメインの名前、または構成コンテナー内のパーティション コンテナーの upnSuffixes 属性に一覧表示されている代替名である必要があります。

UPN 管理

UPN は割り当てることができますが、ユーザー アカウントの作成時には必須ではありません。 UPN が作成されると、ユーザーの名前変更や移動など、ユーザー オブジェクトの他の属性に対する変更の影響を受けません。 これにより、ディレクトリが再構築された場合、ユーザーは同じログイン名を保持できます。 ただし、管理者は UPN を変更できます。 新しいユーザー オブジェクトを作成するときは、提案された名前のローカル ドメインとグローバル カタログを確認して、まだ存在しないことを確認する必要があります。

ユーザーが UPN を使用してドメインにログオンすると、ローカル ドメインとグローバル カタログを検索して UPN が検証されます。 グローバル カタログに UPN が見つからない場合、ログオン試行は失敗します。

objectGUID

objectGUID 属性は、ユーザーの一意の識別子です。 この属性は、単一値の 128 ビットグローバル一意識別子 (GUID) であり、 ADS_OCTET_STRING 構造体として格納されます。 GUID は、ユーザー オブジェクトの作成時に Active Directory サーバーによって作成されます。

オブジェクトの名前を変更または移動すると、オブジェクトの識別名が変更されるため、識別名はオブジェクトの信頼できる識別子ではありません。 Active Directory Domain Servicesでは、オブジェクトの名前が変更または移動された場合でも、オブジェクトの objectGUID 属性は変更されません。 IADs プロパティ メソッドGUID プロパティ メソッドを使用して、objectGUID の文字列形式を取得できます。

sAMAccountName

sAMAccountName 属性は、Windows NT 4.0、Windows 95、Windows 98、LAN マネージャーなど、以前のバージョンのWindowsのクライアントとサーバーをサポートするために使用されるログオン名です。 ログオン名は 20 文字以下で、ドメイン内のすべてのセキュリティ プリンシパル オブジェクト間で一意である必要があります。

objectSid

objectSid 属性は、ユーザーのセキュリティ識別子 (SID) です。 SID は、Windows セキュリティとの対話中にユーザーとそのグループ メンバーシップを識別するためにシステムによって使用されます。 属性は単一値です。 SID は、ユーザーをセキュリティ プリンシパルとして識別するために使用される一意のバイナリ値です。

SID は、ユーザーの作成時にシステムによって設定されます。 各ユーザーは、Windows ドメインによって発行された一意の SID を持ち、ディレクトリ内のユーザー オブジェクトの objectSid 属性に格納されます。 ユーザーがログオンするたびに、システムはディレクトリからユーザーの SID を取得し、ユーザーのアクセス トークンに配置します。 ユーザーの SID は、ユーザーがメンバーであるグループの SID を取得し、ユーザーのアクセス トークンに配置するためにも使用されます。 SID がユーザーまたはグループの一意の識別子として使用されている場合、別のユーザーまたはグループを識別するためにもう一度使用することはできません。

Sidhistory

sIDHistory 属性には、ユーザー オブジェクトの以前の SID が含まれています。 これは、複数値の属性です。 ユーザーが別のドメインに移動された場合、ユーザー オブジェクトには以前の SID があります。 ユーザー オブジェクトが新しいドメインに移動されるたびに、新しい SID が作成され、 objectSid 属性が割り当てられ、前の SID が sIDHistory 属性に追加されます。

ユーザー オブジェクト属性