現在オフラインです。再接続するためにインターネットの接続を待っています

アカウントのロック解除のアクセス許可を委任する方法

概要
この資料では、ロックされたユーザーのロックを解除するアクセス許可を Active Directory 内の特定のグループまたはユーザーに委任する手順について説明します。
詳細
オブジェクト制御の委任ウィザードに、アカウントのロックを解除するアクセス許可 (lockoutTime) が表示されるようにするには、次の手順を実行します。
  1. Active Directory ユーザーとコンピュータ コンソールの実行に使用する Windows 2000 ベースのコンピュータで、ワードパッドを使用して %Systemroot%\System32\Dssec.dat ファイルを開きます。
  2. [編集] メニューの [検索] をクリックし、[user] を検索します (角かっこを含みます)。
  3. [user] の下の lockoutTime を探します。各項目はアルファベット順に並んでいます。
  4. lockoutTime に設定されている値を lockoutTime=7 から lockoutTime=0 に変更します。
  5. [ファイル] メニューの [上書き保存] をクリックします。書式情報に関する警告メッセージが表示されたら、[はい] をクリックします。これにより、オブジェクト制御の委任ウィザードで、ユーザーに割り当てるアクセス許可として lockoutTime の読み取りと書き込みが選択できるようになります。
グループまたはユーザーにアクセス許可を委任するには、次の手順を実行します。
  1. Active Directory ユーザーとコンピュータを使用して、ユーザー アカウントのロックを解除するアクセス許可を付与するグループまたはユーザー アカウントを作成します (たとえば、Help Desk Admins という名前のグループを作成します)。
  2. Active Directory ユーザーとコンピュータで、ドメインを右クリックし、[制御の委任] をクリックします。
  3. オブジェクト制御の委任ウィザードが表示されます。[オブジェクト制御の委任ウィザードの開始] ダイアログ ボックスで、[次へ] をクリックします。
  4. [ユーザーまたはグループ] ダイアログ ボックスで、[追加] をクリックします。アカウントのロックを解除するアクセス許可を付与するグループを一覧から選択し、[OK] をクリックします。[ユーザーまたはグループ] ダイアログ ボックスで、[次へ] をクリックします。
  5. [委任するタスク] ダイアログ ボックスで、[委任するカスタム タスクを作成する] をクリックし、[次へ] をクリックします。
  6. [Active Directory オブジェクトの種類] ダイアログ ボックスで、[フォルダ内の次のオブジェクトのみ] をクリックします。一覧で、[ユーザー オブジェクト] チェック ボックスをオンにし、[次へ] をクリックします。
  7. [アクセス許可] ダイアログ ボックスで、[全般] チェック ボックスをオフにし、[プロパティ固有] チェック ボックスをオンにします。[アクセス許可] ボックスの一覧で、[lockoutTime の読み取り] チェック ボックスをオンにし、[lockoutTime の書き込み] チェック ボックスをオンにして、[次へ] をクリックします。
  8. [オブジェクト制御の委任ウィザードの完了] ダイアログ ボックスで、[完了] をクリックします。
この資料に記載されている手順を実行すると、特定のドメインまたは組織単位 (OU) のグループまたはユーザーに、アカウントの lockoutTime の読み取りと lockoutTime の書き込みのアクセス許可を委任できます。アカウント ポリシーはドメイン固有であるため、アカウントのロックアウト ポリシーはドメイン全体に対してのみ適用できます。OU またはその他のコンテナの lockoutTime 属性の読み取りおよび書き込みのアクセス許可が与えられているユーザーまたはグループは、そのコンテナに属しているユーザー アカウントのロックを解除できます。このアクセス許可が与えられているユーザーまたはグループが、アクセス許可を保持しているコンテナに含まれている必要はありません。

この委任は、他のドメインのアクセス許可やポリシーに影響を与えることはありません。これは、同じフォレスト内のドメインについても同様であり、委任を行ったドメインがフォレストのルート ドメインである場合も同様です。

Windows 2000 のアカウント ポリシーの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
255550 Configuring Account Policies in Active Directory
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 294952 (最終更新日 2003-12-18) を基に作成したものです。
プロパティ

文書番号:294952 - 最終更新日: 06/02/2004 06:39:00 - リビジョン: 2.0

  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 2
  • kbhowto KB294952
フィードバック