none
GUIによるアカウントのロック解除が委任出来ない RRS feed

  • 質問

  • Windows Server 2003のActivedirectory環境を運用していますが、アカウントのロック解除、
    および、パスワードのリセットを、ヘルプデスクユーザに委任して行わせたいと思っていますが、
    GUI(Active Directory ユーザとコンピュータ)でロック解除等を行うことが出来ません。
    権限としては、なるべく最小限にしたいと思っており、Account Operetorsなどに追加することもしたく
    ないと考えています。
    Webを検索し、「制御の委任」ウイザードから、Lockouttimeやms-DS-User-Account-Control-Computedや
    userAccountControlプロパティの読み書き、パスワードの変更、パスワードのリセット権限を設定して
    委任しましたが、ロックアウトのチェックボックスがグレーアウトしたままで、解除が出来ませんでした。

    どのような設定をすれば、GUIからロック解除、パスワードリセットが可能なのか、または、GUIからは
    不可能なのか、など、ご教示頂ければと思います。
    2009年5月6日 12:58

回答

すべての返信

  • 下記の文書を参照してみてください。

    アカウントのロック解除のアクセス許可を委任する方法
    http://support.microsoft.com/?kbid=294952
    • 回答としてマーク dai-chan 2009年5月7日 6:49
    2009年5月6日 20:56
  • JR K Yoshikawaさん、ご回答ありがとうございます。

    結論から申し上げますと、頂いた下記の情報で、実現できました。

     アカウントのロック解除のアクセス許可を委任する方法
     http://support.microsoft.com/?kbid=294952

    昨日の時点では、上記情報も参照して試したはずでしたが、何度やっても、また、別のユーザに
    委任してもロック解除が出来なかったのですが、JR K Yoshikawaさんから上記回答を頂いたので
    今日、再度設定してみたところ、あっさりと、ロック解除が行えました。
    (昨日の数時間は何だったんだろう・・・という気持ちでいっぱいです・・・)

    参考までに、委任した権限は以下の通りです。
        パスワードのリセット
        lockoutTime の読み取り
        lockoutTime の書き込み
        pwdLastSet の読み取り
        pwdLastSet の書き込み

    また、パスワードのリセットに必要な権限については下記文書を参考にしました。

    次のログオン手順でパスワードの変更を強制的に委任された管理者に必要な最低限のアクセス許可
    http://support.microsoft.com/kb/296999/ja
    (機械翻訳)
    2009年5月7日 7:01