ユーザーアカウントに関連する設定はいろいろあるが、今週はユーザーアカウントの無効化について解説する。

まず、削除ではなく無効化を

社員の休職や退職によって使われなくなったユーザーアカウントについては、不正利用されないように使用不可能な状態にする必要がある。しかし、いきなり削除するのではなく、まず無効化しておく方がよい。

Active Directoryのドメインアカウントでも、Windows自身のローカルアカウントでも、ユーザーアカウントなどのオブジェクトは内部的にはSID(Security Identifier)という識別子で管理されており、アクセス権設定にもSIDを利用している。

SIDの再利用は行わないので、あるユーザーアカウントを削除した後で同名のユーザーアカウントを再作成しても、SIDは異なるものになる。すると、アクセス権などの設定もすべてやり直しになってしまう。その点、無効化するだけなら再度有効化するだけで原状復帰できるので、手間がかからない。

ユーザーアカウントの無効化(管理ツール編)

まず、管理ツールを使用する方法について解説する。

1. [Active Directoryユーザーとコンピュータ]管理ツールを起動する。

2. 左側のツリー画面で、無効化したいユーザーアカウントがある場所(ドメイン、OUまたはコンテナ)を選択する。

3. (a) 画面右側の一覧で無効化したいユーザーアカウントを選択して、[操作]-[アカウントを無効にする]、あるいは右クリックして[アカウントを無効にする]を選択する

   (b) 画面右側の一覧で無効化したいユーザーアカウントをダブルクリックする。[操作]-[プロパティ]、あるいは右クリックして[プロパティ]を選択する方法でもよい。続いて表示するダイアログで、[アカウント]タブの[アカウント オプション]リスト内にある[アカウント無効]チェックボックスをオンにする

4. これらの操作により、当該ユーザーアカウントが無効になる。

なお、プロパティ画面の[アカウント]タブで[アカウントは無効](または[アカウント無効])チェックボックスをオフにする方法で、無効になっているユーザーアカウントを有効な状態に戻すことができる。

プロパティ画面で無効化を指示する方法以外に、ユーザーアカウントの一覧で[操作]-[アカウントを無効にする]を選択する方法もある。無効化したユーザーアカウントのアイコンには「×」あるいは「↓」を表示して、無効であることを示す

ユーザーアカウントの無効化(コマンド編)

net userコマンド、あるいはdsmod userコマンドを使うと、ユーザーアカウントの無効化が可能だ。対象となるユーザーアカウントのLDAP識別名に続いて、引数「-disabled=yes」を指定すればよい。

ユーザー「kojii」を無効化

net user kojii /active:no

dsmod user cn=kojii,cn=users,dc=ad-domain,dc=company,dc=local -disable=yes

net user kojii /active:yes

dsmod user cn=kojii,cn=users,dc=ad-domain,dc=company,dc=local -disable=no