パスワード変更は次回のログオン手順を強制的に代理管理者に必要な最小限のアクセス許可

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:296999
現象
既定では、管理者は、委任する場合は、機能の委任を使用して、ユーザーまたはグループにパスワードのリセット管理ウィザード、ユーザーまたはグループを強制的にアクセス許可がないこと、ユーザーは、パスワードが、次にパスワードを変更するのにはリセットされましたユーザーのログオン時間です。場合を使用できます、アクセスを許可するユーザーパスワードをリセットするユーザー アカウントをクリックを右クリックします。 パスワードをリセットします。、しをクリックし、 ユーザーがパスワードを変更する必要があります。次のログオン時 チェック ボックスでは、後者のユーザーのパスワード、しかしリセットされます、このユーザー パスワードの変更を強制されないときにこのユーザーログオンします。
原因
ユーザーが持っていないためにこの現象発生、設定するために必要な最小限のアクセス許可に必要な ユーザーする必要があります。次回のログオン時にパスワードを変更します。 アカウント作成オプションユーザーのオブジェクトに対する権限が制限。リセットする機能を委任する場合パスワードを委任されたコンテナーが与えられているアクセス許可のだけです。パスワードのリセットのアクセス許可ユーザー オブジェクト。
解決方法
[オブジェクト制御の委任ウィザードを使用して委任できますが パスワードをリセットします。アクセス許可を委任されたユーザーです。一方、ください"ユーザーを変更するには次回ログオン時にパスワードの変更"フラグは、委任されたユーザーする必要がありますが書き込みユーザーのコンテナーのアクセス許可。ただし、書き込みアクセス許可が用意されています、委任された権限を持つユーザー追加します。つまり、 アカウントを作成します。制限事項いくつかの他のユーザーにアクセスを提供するスーパー アクセス許可のアクセス許可のこと[プロパティ] します。PwdLastSet プロパティを変更するのにはユーザーを強制的に使えます次回のログオン時にパスワード。既定では、個々 のアクセス許可ではありません。表示されます。フィルターのアクセス許可の値によって制御されます、Dssec.dat ファイルです。この問題を解決するには、するには、次の手順を使用することができます。のみのアクセス許可を委任する、 パスワードをリセットします。 とpwdLastSet プロパティという名前のユーザー定義グループへ ヘルプ デスク.
  1. フィルターは、ユーザーのアクセス許可を無効にします。
    1. クリックしてください。 開始をクリックして 実行、タイプ Dssec.dat で、 ファイルを開く ボックスとクリック [OK].
    2. クリックしてください。 ファイルを開くをクリックして メモ帳、し [OK].
    3. で、 [ユーザー] セクションで、編集、 pwdLastSet値を変更します。 pwdLastSet = 7 するには pwdLastSet = 0.
    4. メモ帳を終了します。
    メモ 値は変わりません。 pwdLastSet で、 [コンピューター] セクションです。既定では、 pwdLastSet 値がない、 [ユーザー] Dssec.dat ファイルが Windows Server 2003 上のセクションです。そのため、Windows Server 2003 を実行している場合は、手動で追加する必要があります。
  2. Help Desk グループにアクセス許可を委任します。
    1. クリックしてください。 開始をクリックして 実行、タイプ 「dsa.msc」 で、 ファイルを開く ボックスとクリック [OK].
    2. 先となる組織単位 (ou) を右クリックします。アクセス許可を委任し、 [制御の委任.
    3. クリックしてください。 次へ、し 追加.
    4. クリックしてください。 ヘルプ デスクをクリックして 追加、し [OK].
    5. クリックしてください。 次へを確認します。 委任するカスタム タスクを作成します。、し 次へ.
    6. クリックしてください。 次のオブジェクトのみフォルダーにをオンにし、 ユーザー オブジェクトチェック ボックスをオンにしをクリックしてください 次へ.
    7. オンにし、 全般 とは、 プロパティ固有 チェック ボックス。
    8. オンにし、 リセットパスワード, PwdLastSet を読み取り、、 書き込みpwdLastSet チェック ボックスでは、 アクセス許可ボックス。
    9. クリックしてください。 次へ、し 終了日.
  3. フィルターは、ユーザーのアクセス許可を有効にします。
    1. クリックしてください。 開始をクリックして 実行、タイプ dssec.dat で、 ファイルを開く ボックスとクリック [OK].
    2. クリックしてください。 ファイルを開くをクリックして メモ帳、し [OK].
    3. で、 [ユーザー] セクションで、編集、 pwdLastSet 値を変更します。 pwdLastSet = 0 するには pwdLastSet = 7.
    4. メモ帳を終了します。
さらに、セキュリティの変更を確認する場合は、この手順を実行することができます。
  1. クリックしてください。開始をクリックして 実行、タイプ「dsa.msc」、し [OK].
  2. で、 ビュー メニューの選択 高度な機能.
  3. 委任は、組織単位を右クリックします。アクセス許可をクリックして、 プロパティ.
  4. クリックして、 セキュリティ タブをクリックして、 ヘルプ デスク グループ化、および、クリックしてください 高度な.
  5. クリックしてください。 読み取り/書き込みプロパティ で、アクセス許可のエントリ、し表示または編集します。
  6. だけわかります、 PwdLastSet を読み取りおよび PwdLastSet を書き込み プロパティを設定するのには許可します。、が、 ヘルプ デスク その他のプロパティへのアクセスがありません。
詳細
詳細についてはアクセス許可を委任する、内のアーティクルを表示するのには、以下をクリックします。技術情報:
235531 既定のセキュリティの問題では、Active Directory の委任
229873 グループまたはユーザーを削除するのには、管理委任ウィザードを使用できません。
296490 フィルターが適用されたオブジェクトのプロパティを変更する方法

警告: この記事は自動翻訳されています

プロパティ

文書番号:296999 - 最終更新日: 07/24/2011 22:57:00 - リビジョン: 5.0

  • kbprb kbacl kbmt KB296999 KbMtja
フィードバック