[HOW TO] 委任ウィザードのタスク一覧をカスタマイズする

概要

この資料では、Delegwiz.inf ファイルを編集して委任ウィザードをカスタマイズする方法について説明します。

詳細

委任ウィザードを使用すると、管理者はオブジェクトやコンテナの制御を他のユーザーに委任することができます。このウィザードは、Windows 2000 と Windows XP のドメイン コントローラとサーバーで利用可能です。

委任ウィザードは、Active Directory のオブジェクトに必要なアクセス許可を設定してユーザーにさまざまな制御レベルを割り当てるために使用します。委任ウィザードを使用すると、管理者は事前に定義された委任可能なタスクから選択することにより、ユーザーまたはグループにオブジェクトへのアクセス許可を与える作業を簡単に行うことができます。委任ウィザードを使用して委任できるタスクの一覧は Delegwiz.inf ファイルに保持されています。このファイルは<Windows インストール ディレクトリ>\Inf フォルダに作成されます。管理者はこのファイルを修正して委任可能なタスク一覧の項目を追加または削除することができます。

タスクの追加

委任ウィザードにタスクを追加するには、Delegwiz.inf ファイルの以下の構文を使用してタスクのテンプレートを作成する必要があります。

;---------------------------------------------------------
[template1]
AppliesToClasses=<このテンプレートを適用するオブジェクトの種類を
示すカンマ区切り一覧。たとえば、"organizationalUnit" が一覧に
含まれている場合、OU 上で委任ウィザードが呼び出されたときに
このテンプレートが表示されます。>

Description = "<ウィザードに表示されるタスクの説明>"

ObjectTypes = <アクセス許可を調整するオブジェクトのカンマ区切り一覧。例:
"ObjectTypes = SCOPE,Obj1,Obj2,Obj3">

[template1.SCOPE]
<SCOPE のアクセス許可エントリ>

[template1.Obj1]
<Obj1 のアクセス許可エントリ>

[template1.Obj2]
<Obj2 のアクセス許可エントリ>

[template1.Obj3]
<Obj3 のアクセス許可エントリ>
;---------------------------------------------------------
オブジェクトの種類 "SCOPE" のアクセス許可エントリは、コンテナ自身のセキュリティ制御に使用します。


アクセス許可エントリの一覧には、それぞれ以下のアクセス許可指定子が含まれている必要があります。
RP - 読み取りアクセス許可
WP - 書き込みアクセス許可
CC - 子の作成

DC - 子の削除

GA - 総合 (フル コントロール)
アクセス許可は以下の 4 つの構文のいずれかを使用して指定することができます。

  • @= <アクセス許可指定子>
    オブジェクトに標準の ACE (アクセス制御エントリ) を設定します。これは、オブジェクトのすべてのプロパティにアクセス許可が設定されることを意味します。

  • propertyName= <アクセス許可指定子>
    指定されたアクセス許可を特定の LDAP 表示名のプロパティに設定します。この構文は、オブジェクトの各プロパティごとに異なるアクセス許可を設定する必要がある場合に使用します。

  • objectType= <アクセス許可指定子>
    指定されたアクセス許可を特定の LDAP 表示名のオブジェクトに設定します。この構文は、コンテナの各オブジェクトのごとに異なるアクセス許可を設定する必要がある場合に使用します。

  • CONTROLRIGHT= <アクセス制御権限の表示名>
    特定のオプジェクトの種類について、指定されたアクセス制御権限をユーザーに与えます。

サンプル テンプレート

以下の 2 つのサンプル テンプレートは、上記の構文を実行する例を示しています。これらのテンプレートは標準の Delegwiz.inf ファイルに保存されています。

Template10 のサンプル

以下のテンプレートはドメイン組織単位 (OU) のコンテナ オブジェクトに適用され、ドメインまたは OU オブジェクトのプロパティから委任ウィザードを実行した場合に表示されます。このテンプレートでは、アクセス許可の変更を自分自身 (SCOPE) および inetorgperson オブジェクトに適用します。自分自身に適用される変更は CC (子の作成) および DC (子の削除) アクセス許可です。指定されたコンテナ内の inetorgperson オブジェクトに適用される変更は GA (フル コントロール) です。

;---------------------------------------------------------
[template10]
AppliesToClasses=domainDns,organizationalUnit,container

Description = "inetorgperson アカウントの作成、削除、および管理"

ObjectTypes = SCOPE, inetorgperson

[template10.SCOPE]
inetorgperson=CC,DC

[template10.inetorgperson]
@=GA
;---------------------------------------------------------

Template11 のサンプル

以下のテンプレートはドメインおよび OU に適用され、これらのオブジェクトのプロパティ メニューから委任ウィザードを実行した場合に表示されます。このテンプレートは、指定されたコンテナ内の inetorgperson オブジェクトに対する "パスワードの再設定" 権限、RP (読み取り権限)、および WP (書き込み権限) を特定のユーザーに与えるよう委任ウィザードに指示します。

;---------------------------------------------------------
[template11]
AppliesToClasses=domainDns,organizationalUnit,container

Description = "inetorgperson パスワードを再設定し、次回ログオン時にパスワードを変更する"

ObjectTypes = inetorgperson

[template11.inetorgperson]
CONTROLRIGHT= "Reset Password"
pwdLastSet=RP,WP
;----------------------------------------------------------

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 308404 (最終更新日 2002-11-04) をもとに作成したものです。


プロパティ

文書番号:308404 - 最終更新日: 2002/11/11 - リビジョン: 1

フィードバック