アカウントのロック解除のアクセス許可を委任する方法

文書翻訳 文書翻訳
文書番号: 294952 - 対象製品
すべて展開する | すべて折りたたむ

概要

この資料では、ロックされたユーザーのロックを解除するアクセス許可を Active Directory 内の特定のグループまたはユーザーに委任する手順について説明します。

詳細

オブジェクト制御の委任ウィザードに、アカウントのロックを解除するアクセス許可 (lockoutTime) が表示されるようにするには、次の手順を実行します。
  1. Active Directory ユーザーとコンピュータ コンソールの実行に使用する Windows 2000 ベースのコンピュータで、ワードパッドを使用して %Systemroot%\System32\Dssec.dat ファイルを開きます。
  2. [編集] メニューの [検索] をクリックし、[user] を検索します (角かっこを含みます)。
  3. [user] の下の lockoutTime を探します。各項目はアルファベット順に並んでいます。
  4. lockoutTime に設定されている値を lockoutTime=7 から lockoutTime=0 に変更します。
  5. [ファイル] メニューの [上書き保存] をクリックします。書式情報に関する警告メッセージが表示されたら、[はい] をクリックします。これにより、オブジェクト制御の委任ウィザードで、ユーザーに割り当てるアクセス許可として lockoutTime の読み取りと書き込みが選択できるようになります。
グループまたはユーザーにアクセス許可を委任するには、次の手順を実行します。
  1. Active Directory ユーザーとコンピュータを使用して、ユーザー アカウントのロックを解除するアクセス許可を付与するグループまたはユーザー アカウントを作成します (たとえば、Help Desk Admins という名前のグループを作成します)。
  2. Active Directory ユーザーとコンピュータで、ドメインを右クリックし、[制御の委任] をクリックします。
  3. オブジェクト制御の委任ウィザードが表示されます。[オブジェクト制御の委任ウィザードの開始] ダイアログ ボックスで、[次へ] をクリックします。
  4. [ユーザーまたはグループ] ダイアログ ボックスで、[追加] をクリックします。アカウントのロックを解除するアクセス許可を付与するグループを一覧から選択し、[OK] をクリックします。[ユーザーまたはグループ] ダイアログ ボックスで、[次へ] をクリックします。
  5. [委任するタスク] ダイアログ ボックスで、[委任するカスタム タスクを作成する] をクリックし、[次へ] をクリックします。
  6. [Active Directory オブジェクトの種類] ダイアログ ボックスで、[フォルダ内の次のオブジェクトのみ] をクリックします。一覧で、[ユーザー オブジェクト] チェック ボックスをオンにし、[次へ] をクリックします。
  7. [アクセス許可] ダイアログ ボックスで、[全般] チェック ボックスをオフにし、[プロパティ固有] チェック ボックスをオンにします。[アクセス許可] ボックスの一覧で、[lockoutTime の読み取り] チェック ボックスをオンにし、[lockoutTime の書き込み] チェック ボックスをオンにして、[次へ] をクリックします。
  8. [オブジェクト制御の委任ウィザードの完了] ダイアログ ボックスで、[完了] をクリックします。
この資料に記載されている手順を実行すると、特定のドメインまたは組織単位 (OU) のグループまたはユーザーに、アカウントの lockoutTime の読み取りと lockoutTime の書き込みのアクセス許可を委任できます。アカウント ポリシーはドメイン固有であるため、アカウントのロックアウト ポリシーはドメイン全体に対してのみ適用できます。OU またはその他のコンテナの lockoutTime 属性の読み取りおよび書き込みのアクセス許可が与えられているユーザーまたはグループは、そのコンテナに属しているユーザー アカウントのロックを解除できます。このアクセス許可が与えられているユーザーまたはグループが、アクセス許可を保持しているコンテナに含まれている必要はありません。

この委任は、他のドメインのアクセス許可やポリシーに影響を与えることはありません。これは、同じフォレスト内のドメインについても同様であり、委任を行ったドメインがフォレストのルート ドメインである場合も同様です。

Windows 2000 のアカウント ポリシーの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
255550 Configuring Account Policies in Active Directory

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 294952 (最終更新日 2003-12-18) を基に作成したものです。

プロパティ

文書番号: 294952 - 最終更新日: 2004年6月2日 - リビジョン: 2.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 2
キーワード:?
kbhowto KB294952
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com