Help and Support

UserAccountControl フラグを使用してユーザー アカウント プロパティを操作する方法

対象製品
文書番号:305144
最終更新日:2007年12月3日
リビジョン:10.3
目次

概要

ユーザー アカウントのプロパティを開いて、[アカウント] タブをクリックし、[アカウント オプション] ボックスのチェック ボックスのオン/オフを切り替えると、UserAccountControl 属性に数値が割り当てられます。Windows は、この値によって、どのオプションが有効になっているのかを認識します。

ユーザー アカウントを表示するには、[スタート] ボタンをクリックし、[プログラム] (または [すべてのプログラム])、[管理ツール] の順にポイントし、[Active Directory ユーザーとコンピュータ] をクリックします。

先頭へ戻る

詳細

Ldp.exe ツールまたは Adsiedit.msc スナップインを使用して、これらの属性を表示、および編集できます。

次の表は、割り当て可能なフラグの一覧です。中には、ディレクトリ サービスのみが値の設定およびリセットを行えるため、ユーザーまたはコンピュータ オブジェクトに対して設定できない値もあります。Ldp.exe では、値は 16 進数で表示され、Adsiedit.msc では 10 進数で表示されます。フラグは累積的です。ユーザーのアカウントを無効にするには、UserAccountControl 属性を 0x0202 (0x002 + 0x0200) に設定します。10 進数では、この値は 514 (2 + 512) です。

: Ldp.exe と Adsiedit.msc のどちらを使用しても、Active Directory を直接編集できます。十分な知識のある管理者のみが、これらのツールを使用して Active Directory を編集してください。ツールは、元の Windows インストール メディアに収録されているサポート ツールをインストールすることによって使用できるようになります。
プロパティ フラグ 16 進値 10 進値
SCRIPT 0x0001 1
ACCOUNTDISABLE 0x0002 2
HOMEDIR_REQUIRED 0x0008 8
LOCKOUT 0x0010 16
PASSWD_NOTREQD 0x0020 32
PASSWD_CANT_CHANGE
: UserAccountControl 属性を直接変更することでこのアクセス許可を割り当てることはできません。プログラムを使用してアクセス許可を設定する方法の詳細については、この資料の「プロパティ フラグの説明」を参照してください。 		0x0040 64
ENCRYPTED_TEXT_PWD_ALLOWED 0x0080 128
TEMP_DUPLICATE_ACCOUNT 0x0100 256
NORMAL_ACCOUNT 0x0200 512
INTERDOMAIN_TRUST_ACCOUNT 0x0800 2048
WORKSTATION_TRUST_ACCOUNT 0x1000 4096
SERVER_TRUST_ACCOUNT 0x2000 8192
DONT_EXPIRE_PASSWORD 0x10000 65536
MNS_LOGON_ACCOUNT 0x20000 131072
SMARTCARD_REQUIRED 0x40000 262144
TRUSTED_FOR_DELEGATION 0x80000 524288
NOT_DELEGATED 0x100000 1048576
USE_DES_KEY_ONLY 0x200000 2097152
DONT_REQ_PREAUTH 0x400000 4194304
PASSWORD_EXPIRED 0x800000 8388608
TRUSTED_TO_AUTH_FOR_DELEGATION 0x1000000 16777216

: Windows Server 2003 ベースのドメインでは、LOCK_OUT および PASSWORD_EXPIRED は ms-DS-User-Account-Control-Computed と呼ばれる新しい属性に置き換えられました。この新しい属性の詳細については、次の Web サイトを参照してください。
http://msdn.microsoft.com/library/en-us/adschema/adschema/a_msds_user_account_control_computed.asp (http://msdn.microsoft.com/library/en-us/adschema/adschema/a_msds_user_account_control_computed.asp)

先頭へ戻る

プロパティ フラグの説明

? SCRIPT : ログオン スクリプトを実行します。
? ACCOUNTDISABLE : ユーザー アカウントを無効にします。
? HOMEDIR_REQUIRED : ホーム フォルダが必要です。
? PASSWD_NOTREQD : パスワードは必要ありません。
? PASSWD_CANT_CHANGE : ユーザーがパスワードを変更することはできません。これは、ユーザーのオブジェクトに対するアクセス許可です。プログラムを使用してアクセス許可を変更する方法の詳細については、以下の Web サイトを参照してください。
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/adsi/adsi/modifying_user_cannot_change_password_ldap_provider.asp (http://msdn.microsoft.com/library/default.asp?url=/library/en-us/adsi/adsi/modifying_user_cannot_change_password_ldap_provider.asp)
? ENCRYPTED_TEXT_PASSWORD_ALLOWED : ユーザーは暗号化されたパスワードを送信できます。
? TEMP_DUPLICATE_ACCOUNT : 別のドメインにプライマリ アカウントを持つユーザーが使用するアカウントです。このアカウントが存在することにより、ユーザーはこのドメインにアクセスできますが、このドメインを信頼するドメインへのアクセスはできません。これはローカル ユーザー アカウントとして参照される場合があります。
? NORMAL_ACCOUNT : 通常のユーザーを表すデフォルトのアカウントです。
? INTERDOMAIN_TRUST_ACCOUNT : 別のドメインを信頼しているシステム ドメインのアカウントを信頼することを許可します。
? WORKSTATION_TRUST_ACCOUNT : Microsoft Windows NT 4.0 Workstation、Microsoft Windows NT 4.0 Server、Microsoft Windows 2000 Professional、または Windows 2000 Server を実行している動作するコンピュータのコンピュータ アカウントであり、このドメインのメンバです。
? SERVER_TRUST_ACCOUNT : このドメインのメンバであるドメイン コントローラのコンピュータ アカウントです。
? DONT_EXPIRE_PASSWD : アカウントのパスワードが無期限であることを表します。
? MNS_LOGON_ACCOUNT : MNS ログオン アカウントです。
? SMARTCARD_REQUIRED : このフラグを設定すると、ユーザーはスマート カードを使用してログオンする必要があります。
? TRUSTED_FOR_DELEGATION : このフラグを設定すると、サービスを実行するサービス アカウント (ユーザー アカウントまたはコンピュータ アカウント) が Kerberos の委任に対して信頼されます。このようなサービスでは、サービスを要求するクライアントを偽装することができます。サービスで Kerberos の委任を有効にするには、このフラグをサービス アカウントの userAccountControl プロパティに設定する必要があります。
? NOT_DELEGATED : このフラグを設定すると、サービス アカウントが Kerberos の委任に対して信頼されると設定されていても、ユーザーのセキュリティ コンテキストはサービスに委任されません。
? USE_DES_KEY_ONLY : (Windows 2000/Windows Server 2003) このプリンシパルを、DES (Data Encryption Standard) 暗号化のみをキーに使用できるように制限します。
? DONT_REQUIRE_PREAUTH : (Windows 2000/Windows Server 2003) このアカウントは、ログオン時に Kerberos 事前認証を必要としません。
? PASSWORD_EXPIRED : (Windows 2000/Windows Server 2003) ユーザーのパスワードの有効期限が切れています。
? TRUSTED_TO_AUTH_FOR_DELEGATION : (Windows 2000/Windows Server 2003) このアカウントは委任に対して有効です。これはセキュリティに代わる設定です。このオプションが設定されたアカウントは厳密に管理する必要があります。この設定を行うと、アカウントで実行されているサービスはクライアントとして識別され、ネットワーク上の他のリモート サーバーへそのユーザーとして認証されます。

先頭へ戻る

UserAccountControl 値

特定のオブジェクトで使用される UserAccountControl のデフォルト値を次に示します。
通常のユーザー : 0x200 (512)
ドメイン コントローラ : 0x82000 (532480)
ワークステーション/サーバー : 0x1000 (4096)

先頭へ戻る

この資料は以下の製品について記述したものです。
?Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
?Microsoft Windows Server 2003, Standard Edition (32-bit x86)
?Microsoft Windows 2000 Server
?Microsoft Windows 2000 Advanced Server
?Microsoft Windows Small Business Server 2003 Premium Edition
?Microsoft Windows Small Business Server 2003 Standard Edition

先頭へ戻る

キーワード:?
kbinfo kbenv KB305144

先頭へ戻る

"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

サポート技術情報の翻訳

 

Other Support Options

  • Contact Microsoft
    Phone Numbers, Support Options and Pricing, Online Help, and more.
  • Customer Service
    For non-technical assistance with product purchases, subscriptions, online services, events, training courses, corporate sales, piracy issues, and more.
  • Newsgroups
    Pose a question to other users. Discussion groups and Forums about specific Microsoft products, technologies, and services.