Skip to main content

Active Directory Publisher - Windows

このスクリプトは、ユーザーの S/MIME 証明書をオンプレミスの Active Directory(AD)に公開する作業を自動化するように設計されています。これは通常、エンタープライズ環境で安全なメール(S/MIME)暗号化シナリオを有効にするために必要です。

このスクリプトは次の機能を提供します。

  • (個人証明書ストアから)新規発行されたユーザーの証明書を識別し、Active Directory の userCertificate 属性に公開します。

  • 公開対象の現在のユーザーの識別名(DN)とドメインコンテキストを自動で判定します。

対応するオペレーティングシステムとアプリケーション

オペレーティングシステム

アプリケーション

Windows(特定のバージョンについては「Prerequisites」を参照)

Windows Server 2022、2025 上の Active Directory(AD)

パラメータ

このスクリプトにはパラメータは不要です。

前提条件のチェック

証明書の公開を進める前に、スクリプトは環境が準備できていることを確認するため、次のとおりいくつかのチェックを実行します。

  • ユーザーの Windows マシンが Active Directory ドメインに参加していることを確認します。

  • ユーザーアカウントが Active Directory の userCertificate 属性への書き込みに必要な権限を備えている必要があります。デフォルトでは、AD ユーザーオブジェクトは通常この権限を備えています。ただし、スクリプト実行中に問題が発生した場合は、管理者にお問い合わせのうえ、必要な権限が適切に設定されていることを確認してください。詳細については、「How to check permission for userCertificate」を参照してください。

  • ポート 389(非TLS)を介して Active Directory への安定した LDAP 接続を検証します。

しくみ

このスクリプトは次の手順を実行します。

  1. 前提条件のチェックがすべて満たされていることを確認します。

  2. ユーザーの個人証明書ストアから証明書を取得し、公開します。

  3. 現在のユーザーのドメインを使用して、ユーザーのドメインコントローラへの LDAP 接続を確立します。

  4. ユーザーの SID を使用して、Windows レジストリから現在のユーザーの識別名(DN)を取得します。

  5. LDAP 変更操作を使用して、ユーザーの AD オブジェクトの userCertificate 属性に証明書を公開します。

Active Directory でユーザーの userCertificate 属性を確認する方法

管理者として、ドメインコントローラで次の手順を実行し、ユーザーの AD オブジェクトの userCertificate 属性を確認できます。

  1. [Active Directory ユーザーとコンピュータ(ADUC)(dsa.msc)]を開きます。

  2. [詳細機能][表示]>[詳細機能]から使用可能)を有効にします。これにより[公開済み証明書]タブが表示されます。

  3. ユーザーオブジェクトに移動します。

  4. オブジェクトを右クリックし、[プロパティ]を選択します。

  5. [公開済み証明書]タブに移動します。証明書の詳細を表示するには、[証明書の表示]を選択してクリックします。

userCertificate の権限を確認する方法

組織のドメインコントローラで、ドメイン管理者としてサインインし、次の手順に従ってユーザーが userCertificate 属性の適切な権限を持っているかどうかを確認します。

  1. [Active Directory ユーザーとコンピュータ(ADUC)(dsa.msc)]を開きます。

  2. 詳細機能([表示]>[詳細機能]から使用可能)を有効にします。これにより[セキュリティ]タブが表示されます。

  3. オブジェクト(ユーザー、グループ、OU など)に移動します。

  4. オブジェクトを右クリックし、[プロパティ]を選択します。

  5. [セキュリティ]タブに移動します。

  6. [詳細設定]を選択し、[セキュリティの詳細設定]ウィンドウを開きます。

  7. [有効なアクセス]タブに移動し、[ユーザーの選択]をクリックします。

  8. [選択するオブジェクト名を入力]フィールドに SELF と入力し、[OK] をクリックします。

  9. [有効なアクセスを表示]を選択し、[userCertificate の読み取り]および[userCertificate の書き込み]権限まで下にスクロールします。どちらの権限にも緑色のチェックマークが表示されている場合、ユーザーは自身の userCertificate 属性を更新できます。

デフォルトでは、この属性の読み取り/書き込み権限が必要です。必要な権限が使用できない場合は、拒否ポリシーを適用した組織のドメイン管理者に連絡し、組織のポリシーに基づいて拒否ポリシーを再適用できるようにします。グループや組織単位(OU)などに基づいてこの権限を適切に適用する方法については、Microsoft のドキュメントを参照してください。

注記

これらの権限を適用する際は、権限のプリンシパルが SELF に設定されていることを確認してください。そうしないと、ユーザーが意図せず他のユーザーアカウントの userCertificate 属性を変更する権限を取得してしまう可能性があります。

トラブルシューティング

システムの後処理スクリプトに関連する問題のトラブルシューティングに役立つ詳細については、「Common issues」を参照してください。

Active Directory Publisher - Windows に関連する問題のトラブルシューティングについては、「Active Directory Publisher - Windows」を参照してください。

このセクションの内容: