none
「ユーザはパスワードを変更 できない」にチェックをつけても、ある程度の時間が過ぎるとチェックが外れてしまう RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    通常のドメインユーザは、30日でパスワードの変更を通知し自身で変更してもらうようにポリシーを設定しています。

    ただし、一部のユーザに対しては、ActiveDirectoryのユーザとコンピュータの箇所で「ユーザはパスワードを変更 できない」にチェックをつけ、自身で変更出来ないように設定しています。

     

    ところが、タイミングが分からないのですがしばらくするとそのチェックが外れてしまい、パスワードの変更が出来るようになっています。なぜチェックが外れてしまうのか分からず困っています。

    他のサイトでは仕様との見解もあるようですが、どういった条件で発生するのかなど、同様な事象に遭遇された方はおりませんでしょうか。

     

    お手数ですが、よろしくお願いいたします。

    2008年10月30日 0:02
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

     

    「一部のユーザ」、が属するセキュリティグループに「管理者権限のグループ」は含まれませんか?

     

    管理者権限アカウントは他人のパスワードをリセットする権限をもっているので、もちろん自分のパスワードも(ログオンしていれば)リセットできます。他人のパスワードはリセットできるのに自分のはできない、というのはリクツに合わないので、このようなチェックを入れてもはずれてしまう、ということだと思いますよ。

    2008年10月30日 1:41
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    下記URL

    http://www.microsoft.com/japan/technet/windowsserver/2008/library/6b069902-87f7-4779-928b-2da7db495088.mspx?mfr=true

    パスワードのリセットができる権限のグループは

    >Account OperatorsDomain AdminsEnterprise Admins、またはそれと同等のメンバシップ

     

    また、下記URL

    既定のグループ

    http://technet2.microsoft.com/WindowsServer/ja/library/1631acad-ef34-4f77-9c2e-94a62f8846cf1041.mspx

    リモート接続ができるのは、Remote Desktop Users、接続される側のAdministratorsに所属させる。

    システムのシャットダウンができるのは、Account Operators、Administrators、Backup Operators、Print Operators、

    Server Operators、Domain Admins、Enterprise Admins

     

    >リモート接続ができ、サーバのシャットダウンを行うアカウントに自身でパスワードの変更を行わないようにさせたい

     

    上記を組み合わせて考えられてはいかがでしょうか。場合によっては、Default Domain Controllers Policy の

    コンピュータの構成→Windowsの設定→セキュリティの設定→ローカルポリシー→ユーザー権利の割り当て

    をいじる必要もあると考えられます。

     

     

     

     

     

     

     

     

     

    2008年11月1日 15:04
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

     

    > リモート接続ができ、サーバのシャットダウンを行うアカウントに自身でパスワードの変更を

    > 行わないようにさせたいのですが、そういった権限をご存知でしょうか。

     

    ビルトインレベル(最初から用意された)の権限はないですね。こういうケースでは、管理者権限を持たないユーザに対して、特定のサーバへのリモートデスクトップ接続を許可する、シャットダウンを許可する、自分のパスワードの変更は許可しない、という個別の設定を行えばよいでしょう。

     

    サーバに対してリモートデスクトップ接続を行うには、そのサーバの"Remote Desktop Users" グループのメンバになっていればよいので、サーバ上に手動で加えるか "制限されたグループ" ポリシーを使ってグループポリシーで登録させることができます(ドメインコントローラの場合や "ローカルログオンを許可する" も追加の設定がいるでしょう)。

     

    シャットダウンについては、"ユーザー権利の割り当て" ポリシーにある "システムのシャットダウン" にあるメンバに加える必要があります。これもグループポリシーの設定の範囲です。

     

    最後の "自分のパスワードを許可しない" 設定については既知のとおりですが、一般ユーザであればチェックがはずれる、といったことは発生しません。

    #念のため聞きますが、このアカウントは"他のユーザのパスワードは変えられなくていい"んですよね?

     

    うえの各設定について細かいことを書くと膨大になるので、キーワードを検索するなどして、ご自身で確認してみてください。

     

    > パスワードのリセットが出来る権限

     

    は、Active Directory では "OUの管理の委任" を行うことで、どのユーザでも他のユーザのパスワードリセットはできるようになります。デフォルトでパスワードリセットができるビルトイングループについては、ヘルプの"既定のグループ"を確認してみてください(ユーザアカウントを追加削除できる、ないしはそれと同じ意味(ドメイン全体を管理できる等)のことが書いてあるグループがそれです)。

    2008年11月3日 10:12
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

     

    「一部のユーザ」、が属するセキュリティグループに「管理者権限のグループ」は含まれませんか?

     

    管理者権限アカウントは他人のパスワードをリセットする権限をもっているので、もちろん自分のパスワードも(ログオンしていれば)リセットできます。他人のパスワードはリセットできるのに自分のはできない、というのはリクツに合わないので、このようなチェックを入れてもはずれてしまう、ということだと思いますよ。

    2008年10月30日 1:41
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーン様

     

    返信ありがとうございました。

    確かにDomainAdminなどの権限を付与しました。

    リモート接続ができ、サーバのシャットダウンを行うアカウントに自身でパスワードの変更を行わないように

    させたいのですが、そういった権限をご存知でしょうか。

     

    また、パスワードのリセットが出来る権限はどのグループにあたるのでしょうか。ヘルプではそこまで記載が無いようで

    参考になる資料がありましたら教えて頂けませんでしょうか。

     

    2008年10月31日 9:53
    |
  • Question
    サインインして投票
    0
    サインインして投票

    下記URL

    http://www.microsoft.com/japan/technet/windowsserver/2008/library/6b069902-87f7-4779-928b-2da7db495088.mspx?mfr=true

    パスワードのリセットができる権限のグループは

    >Account OperatorsDomain AdminsEnterprise Admins、またはそれと同等のメンバシップ

     

    また、下記URL

    既定のグループ

    http://technet2.microsoft.com/WindowsServer/ja/library/1631acad-ef34-4f77-9c2e-94a62f8846cf1041.mspx

    リモート接続ができるのは、Remote Desktop Users、接続される側のAdministratorsに所属させる。

    システムのシャットダウンができるのは、Account Operators、Administrators、Backup Operators、Print Operators、

    Server Operators、Domain Admins、Enterprise Admins

     

    >リモート接続ができ、サーバのシャットダウンを行うアカウントに自身でパスワードの変更を行わないようにさせたい

     

    上記を組み合わせて考えられてはいかがでしょうか。場合によっては、Default Domain Controllers Policy の

    コンピュータの構成→Windowsの設定→セキュリティの設定→ローカルポリシー→ユーザー権利の割り当て

    をいじる必要もあると考えられます。

     

     

     

     

     

     

     

     

     

    2008年11月1日 15:04
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

     

    > リモート接続ができ、サーバのシャットダウンを行うアカウントに自身でパスワードの変更を

    > 行わないようにさせたいのですが、そういった権限をご存知でしょうか。

     

    ビルトインレベル(最初から用意された)の権限はないですね。こういうケースでは、管理者権限を持たないユーザに対して、特定のサーバへのリモートデスクトップ接続を許可する、シャットダウンを許可する、自分のパスワードの変更は許可しない、という個別の設定を行えばよいでしょう。

     

    サーバに対してリモートデスクトップ接続を行うには、そのサーバの"Remote Desktop Users" グループのメンバになっていればよいので、サーバ上に手動で加えるか "制限されたグループ" ポリシーを使ってグループポリシーで登録させることができます(ドメインコントローラの場合や "ローカルログオンを許可する" も追加の設定がいるでしょう)。

     

    シャットダウンについては、"ユーザー権利の割り当て" ポリシーにある "システムのシャットダウン" にあるメンバに加える必要があります。これもグループポリシーの設定の範囲です。

     

    最後の "自分のパスワードを許可しない" 設定については既知のとおりですが、一般ユーザであればチェックがはずれる、といったことは発生しません。

    #念のため聞きますが、このアカウントは"他のユーザのパスワードは変えられなくていい"んですよね?

     

    うえの各設定について細かいことを書くと膨大になるので、キーワードを検索するなどして、ご自身で確認してみてください。

     

    > パスワードのリセットが出来る権限

     

    は、Active Directory では "OUの管理の委任" を行うことで、どのユーザでも他のユーザのパスワードリセットはできるようになります。デフォルトでパスワードリセットができるビルトイングループについては、ヘルプの"既定のグループ"を確認してみてください(ユーザアカウントを追加削除できる、ないしはそれと同じ意味(ドメイン全体を管理できる等)のことが書いてあるグループがそれです)。

    2008年11月3日 10:12
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは。フォーラムオペレーターの鈴木裕子です

     

    チャブーン さん、いつも、とてもわかりやすい回答をありがとうございます。

    試験問題作成委員会 さん、いつも回答を投稿していただきありがとうございます。

     

    223620679 さん、ご投稿の現象は無事解決しましたでしょうか?

    おそらく解決されているのではと思いましたので、勝手ながら私の方で回答チェックをつけさせていただきました。

    もし未解決でいらっしゃるような場合は、遠慮なくチェックを解除して返信していただければと思います。

     

    その後の情報がありましたら、ご投稿いただけるととてもうれしいです

    これからもForumをご活用くださいね!

    それでは。

    2008年11月20日 8:46
    |
    モデレータ