ユーザーアカウントに関連する設定はいろいろあるが、今週はユーザーアカウントの無効化について解説する。

まず、削除ではなく無効化を

社員の休職や退職によって使われなくなったユーザーアカウントについては、不正利用されないように使用不可能な状態にする必要がある。しかし、いきなり削除するのではなく、まず無効化しておく方がよい。

Active Directoryのドメインアカウントでも、Windows自身のローカルアカウントでも、ユーザーアカウントなどのオブジェクトは内部的にはSID(Security Identifier)という識別子で管理されており、アクセス権設定にもSIDを利用している。

SIDの再利用は行わないので、あるユーザーアカウントを削除した後で同名のユーザーアカウントを再作成しても、SIDは異なるものになる。すると、アクセス権などの設定もすべてやり直しになってしまう。その点、無効化するだけなら再度有効化するだけで原状復帰できるので、手間がかからない。

ユーザーアカウントの無効化(管理ツール編)

まず、管理ツールを使用する方法について解説する。

  1. [Active Directoryユーザーとコンピュータ]管理ツールを起動する。

  2. 左側のツリー画面で、無効化したいユーザーアカウントがある場所(ドメイン、OUまたはコンテナ)を選択する。

3a. 画面右側の一覧で無効化したいユーザーアカウントを選択して、[操作]-[アカウントを無効にする]、あるいは右クリックして[アカウントを無効にする]を選択する

3b. 画面右側の一覧で無効化したいユーザーアカウントをダブルクリックする。[操作]-[プロパティ]、あるいは右クリックして[プロパティ]を選択する方法でもよい。続いて表示するダイアログで、[アカウント]タブの[アカウント オプション]リスト内にある[アカウント無効]チェックボックスをオンにする

  1. これらの操作により、当該ユーザーアカウントが無効になる。

なお、プロパティ画面の[アカウント]タブで[アカウントは無効](または[アカウント無効])チェックボックスをオフにする方法、あるいは右クリックメニューで[アカウントを有効にする]を選択する方法で、無効になっているユーザーアカウントを有効な状態に戻すことができる。

プロパティ画面で無効化を指示する方法以外に、ユーザーアカウントの一覧で[操作]-[アカウントを無効にする]を選択する方法もある。無効化したユーザーアカウントのアイコンには「×」あるいは「↓」を表示して、無効であることを示す

ユーザーアカウントの無効化(コマンド編)

net userコマンド、あるいはdsmod userコマンドを使うと、ユーザーアカウントの無効化が可能だ。対象となるユーザーアカウントのLDAP識別名に続いて、引数「-disabled=yes」を指定すればよい。

ユーザー「kojii」を無効化

net user kojii /active:no

ドメイン「ad-domain.company.local」内のコンテナ「users」にあるユーザー「kojii」を無効化

dsmod user cn=kojii,cn=users,dc=ad-domain,dc=company,dc=local -disable=yes

同じ要領で「/active:yes」あるいは「-disabled=no」を指定すると、無効化したユーザーアカウントが有効な状態に戻る。

ユーザー「kojii」を有効化

net user kojii /active:yes

ドメイン「ad-domain.company.local」内のコンテナ「users」にあるユーザー「kojii」を有効化

dsmod user cn=kojii,cn=users,dc=ad-domain,dc=company,dc=local -disable=no