次のログオン手順でパスワードの変更を強制的に代理管理者に必要な最小限のアクセス許可

現象

デフォルトでは、管理者は、委任するユーザーまたはグループに、制御の委任ウィザードでそのユーザーを使用してパスワードをリセットする機能や、グループには、自分のパスワードを変更するには、次のように、ユーザーがログオンしたときにパスワードをリセットされて、ユーザーに強制的にアクセス許可がありません。ユーザーのパスワードをリセットする権限を付与するユーザー アカウントを右クリックした、パスワードのリセットをクリックすると、ユーザーは次回ログオン時にパスワードを変更する必要があります] チェック ボックスをオンにしをクリックした場合は、後者のユーザーのパスワードがリセットされます、ただし、このユーザーは、次のように、このユーザーがログオンしたときにパスワードを変更する必要はありません。

原因

この現象は、ユーザーが、アカウントの制限の書き込みアクセス許可がユーザー オブジェクトは、ユーザーは次回ログオン時にパスワードを変更する必要がありますオプションを設定するために必要な必要最小限のアクセス許可を持たないために発生します。パスワードをリセットする機能を委任する場合、パスワードのリセット アクセス許可がユーザー オブジェクトでは委任されたコンテナーで許可されている唯一のアクセス許可。

解決策

委任するのにはオブジェクト制御の委任ウィザードを使用することができます、
委任されたユーザーにパスワードのリセットのアクセス許可です。一方、[ユーザーは次回ログオン時のパスワードを変更する必要があります] のフラグを変更するのには、ユーザー コンテナーへの書き込みアクセス許可が委任されたユーザーに必要です。ただし、書き込みアクセス許可には、追加のアクセス許可を委任されたユーザーが用意されています。つまり、アカウントの制限の書き込みアクセス許可は、他のユーザーのプロパティへのアクセスを提供するスーパー アクセス許可です。PwdLastSet プロパティは、ユーザーが次回ログオン時にパスワードを変更するを強制的に使用できます。既定では、個々 のアクセス許可は表示されません。アクセス許可のフィルターは、Dssec.dat ファイル内の値によって制御されます。この問題を解決するには、ヘルプ ・ デスクをという名前のユーザー定義グループにパスワードのリセットおよび pwdLastSet プロパティのみのアクセス許可を委任するのには次の手順を使用できます。
  1. ユーザーのアクセス許可のフィルターを無効にします。
    1. [
      開始実行を、クリックして型
      Dssec.datを [名前] ボックスでをクリックし、
      OK.
    2. [プログラムから開く] をクリックしてください
      メモ帳、し [ OK] をクリックします。
    3. [ユーザー]セクションで、フラグの値を変更して編集さん = 7フラグ = 0です。
    4. メモ帳を終了します。
    注: [コンピューター]セクションで、フラグの値を変更することはできません。 既定では、フラグの値が Windows Server 2003 上で Dssec.dat ファイルの[ユーザー]セクションにありません。したがって、Windows Server 2003 を実行している場合は、手動で追加する必要があります。
  2. ヘルプ デスクのグループにアクセス許可を委任します。
    1. [
      開始実行を、クリックして型
      開いているファイル] ボックス、および、[ OK] をクリックします。
    2. アクセス許可を委任する組織単位を右クリックし、[制御の委任] をクリックします。
    3. [次へ] をクリック
      追加します。
    4. ヘルプ ・ デスクをクリックし、[追加] をクリックし、] をクリックし、
      OK.
    5. [次へ] をクリックを確認
      クリックし、[委任するカスタム タスクを作成
      次へ
    6. フォルダー内の次のオブジェクトのみ] をクリックして、[ユーザー オブジェクト] チェック ボックスを選択するのには、し、[次へ] をクリックします。
    7. 全般および特定のプロパティのチェック ボックスをオンにします。
    8. アクセス許可] ボックスで、パスワードのリセット読み取りさん、およびフラグの書き込みチェック ボックスをオンにします。
    9. [次へ] をクリック
      終了します。
  3. ユーザーのアクセス許可のフィルターを有効にします。
    1. [
      開始実行を、クリックして型
      dssec.datを [名前] ボックスでをクリックし、
      OK.
    2. [プログラムから開く] をクリックしてください
      メモ帳、し [ OK] をクリックします。
    3. [ユーザー]セクションで、フラグの値を変更して編集さん = 0さん = 7
    4. メモ帳を終了します。
さらに、セキュリティ上の変更を確認する場合、次の手順。
  1. [
    開始実行を、クリックして型
    ファイル、し、[ OK] をクリックします。
  2. [表示] メニューには、高度な機能を選択します。
  3. アクセス許可を委任する組織単位を右クリックし、[プロパティ] をクリックします。
  4. [セキュリティ] タブをクリックして、ヘルプ デスクのグループで、[詳細設定] をクリックします。
  5. 読み取り/書き込みプロパティをクリックします
    アクセス許可エントリ、しをクリックし、
    View/Edit.
  6. さんの読み取りのみ] と [プロパティのフラグを書き込み設定されているを参照してください。
    許可する] ですが、ヘルプ ・ デスクには、その他のプロパティへのアクセス権がありません。

詳細

アクセス許可の委任に関する詳細については、マイクロソフト サポート技術情報の記事を表示するのには、以下の記事番号をクリックします。
Active Directory 委任した場合の既定のセキュリティの問題を235531
229873制御の委任ウィザードは、グループまたはユーザーを削除するのには使用できません。
296490オブジェクトのフィルター処理されたプロパティを変更する方法

プロパティ

文書番号:296999 - 最終更新日: 2017/02/01 - リビジョン: 1

フィードバック