ユーザーとは
ユーザー アカウントが作成され、Active Directory ドメイン サービスにオブジェクトとして格納されます。 ユーザー アカウントは、人間のユーザーや、コンピューターへのログオンに使用するシステム サービスなどのプログラムで使用できます。 ユーザーがログオンすると、システムはユーザーのパスワードを Active Directory サーバー内のユーザー オブジェクトに格納されているデータと比較することによって、ユーザーのパスワードを検証します。 パスワードが認証されている場合、つまり提示されたパスワードがユーザー オブジェクトに格納されているパスワードと一致すると、システムはアクセス トークンを生成します。 アクセス トークンは、プロセスまたはスレッドのセキュリティ コンテキストを記述するオブジェクトです。 トークン内のデータには、プロセスまたはスレッドに関連付けられているユーザー アカウントのセキュリティ ID とグループ メンバーシップが含まれます。 このユーザーに代わって実行されるすべてのプロセスには、このアクセス トークンのコピーがあります。
Windows のリソースにアクセスする各ユーザーまたはアプリケーションはメイン Active Directory サーバーにアカウントを持っている必要があります。 Windows では、このユーザー アカウントを使用して、ユーザーまたはアプリケーションにリソースを使用するアクセス許可があることを確認します。
ユーザー アカウントは、次の用途に使用できます。
- 人間のユーザーがコンピューターにログオンし、そのユーザー アカウントの ID に基づいてリソースにアクセスできるようにします。
- プログラムとサービスを特定のセキュリティ コンテキストで実行できるようにします。
- オブジェクトとそのプロパティ、ネットワーク共有、ファイル、ディレクトリ、プリンター キューなどの共有リソースへのユーザー アクセスを管理します。
グループには、ユーザーやその他のグループへの参照であるメンバーを含めることができます。 グループを使用して、共有リソースへのアクセスを制御することもできます。 ファイル共有やプリンターなどのリソースのアクセス許可を割り当てる場合、管理者は、個々のユーザーではなくグループにこれらのアクセス許可を割り当てる必要があります。 アクセス許可は、個々のユーザーに数回ではなく、グループに 1 回割り当てられます。 これにより、ネットワークのメインと管理が簡素化されます。
ユーザーと連絡先の比較
ユーザーと連絡先の両方を使用して、人間のユーザーを表すことができます。 ただし、ユーザーはセキュリティ プリンシパルです。連絡先ではありません。
ユーザーを使用して、人間のユーザーが共有リソースにログオンしてアクセスできるようにします。
連絡先は、配布リストと電子メールの目的でのみ使用されます。 ただし、ユーザーと連絡先の両方が person classSchema オブジェクトから派生するため、連絡先には、住所、電話番号などのユーザー オブジェクトに格納されているほとんどのデータを含めることができます。 連絡先にはセキュリティ コンテキストがありません。そのため、連絡先を使用して共有リソースへのアクセスを制御することはできず、コンピューターへのログオンには使用できません。
ユーザーとコンピューターの比較
コンピューター オブジェクト クラスは、ユーザー オブジェクト クラスから継承します。 コンピューター オブジェクトはコンピューターを表します。ただし、コンピューターとコンピューターのローカル サービスでは、多くの場合、ネットワークと共有リソースへのアクセスが必要です。 コンピューターがコンピューターにログオンしたユーザーではなく、共有リソースにアクセスする場合は、ユーザーがログオンした人間のユーザーと同じようにアクセス トークンが必要です。 コンピューターは、ネットワークにアクセスするときに、コンピューターのコンピューター アカウントのセキュリティ識別子と、アカウントがメンバーであるグループを含むアクセス トークンを使用します。
サービスは、LocalSystem または特定のサービス アカウントのコンテキストで実行できます。 Windows 2000 を実行しているコンピューターでは、LocalSystem アカウントのコンテキストで実行されるサービスは、コンピューターの資格情報を使用します。