W2K ActiveDirectory　で初回ログイン時のパスワード変更ができない

kazさんの書き込み (2004-06-01 17:55) より:
どこぞの policy に「user が password を変更するには logon が必要」という内容の設定があって，有効になっていると記憶しています．

かっぱさんの書き込み (2004-06-01 20:03) より:
ここでも、　NT　ではあるけど、　Active Directory では見あたらないと・・・

http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=9914&forum=6&2

kazさんの書き込み (2004-06-02 08:43) より:
おはようございます．
申し訳ありません，そうかもしれませんね．
手元に ActiveDirectory の環境がないので調べることができませんが，NT domain で存在していて，ActiveDirectory で廃止されたということは，security 上「そのほうが好都合」なのかな？

かっぱさんの書き込み (2004-06-02 09:12) より:

おはようございます。

初回ログインまたは、管理者が強制的にパスワードを変更した場合（ユーザのパスワード
忘れ等）は、　ログイン時に強制的に書き換えさせる方がセキュリティー上好都合だと
思われます。　でも、　ログイン時は、ログインしていないので、　どのIDのアクセス
許可があれば変更できるのかがわからず　とまどっています・・・・・・・・・

ヨッシーさんの書き込み (2004-06-02 14:52) より:
こんにちは。
ちなみに私が勤める会社の環境を列記します。
サーバーのOSはWin2K Serverで、当然Active Directoryです。ここで、新規ユーザーを作成すると、新規ユーザーのプロパティの中のセキュリティタブは、下記の11のグループがデフォルトでついてきます。
1.Account Operators
2.Administrators
3.Authenticated Users
4.Cert Publishers
5.Domain Admins
6.Enterprise Admins
7.Everyone
8.Pre-Windows 2000 Compatible Access
9.RAS and IAS Servers
10.SELF
11.SYSTEM
上記の中で、関連がありそうなものといったら、かっぱさんもご存知のように
Everyone,SELF,SYSTEMといったところでしょうか？
グループについては、Domain Usersとなっております。
この条件で、新規ユーザーを追加して、初回ログオン時にパスワード変更が必要にチェックをつければ、クライアントにて初回ログオンしたときに変更ができます。
クライアントOSは、Windows2000 Professionalです。XP Professionalでは試してはいないのですが、そこに違いがあるんでしょうか？

かっぱさんの書き込み (2004-06-02 15:15) より:
こんにちは。

デフォルトでついてくるグループは同じです。
ただし、上記11個のうち、
4.Cert Publishers
8.Pre-Windows 2000 Compatible Access
9.RAS and IAS Servers
については、　パスワードの変更　の許可のチェックははずれています。

ヨッシーさんの書き込み (2004-06-02 16:36) より:
上記については、私の勤めている会社の環境もかっぱさんと同様です。
詳細を言うと、4はチェックなし、8はすべての読み取り権限にチェック、9は、グループメンバシップ・リモートアクセス情報・アカウントの制限・ログオン情報の読み取り権限にチェックがついています。あとは、Everyoneについては過去の事例にもある通り、パスワードの変更のみチェックがついており、SYSTEMについてはフルコントロールで、SELFについては、すべての読み取り権限とパスワードの変更と受信者・送信者、電話とメールのオプション・個人情報・web情報の書き込みくらいです。

http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=9914&forum=6&2
前の記事は私も見ましたが、私の場合と逆になっているので、ますます深みにはまってきました。あと違う点といえば、ドメインコントローラーセキュリティポリシーの設定はまったくしてないことぐらいでしょうか！特にルールは作っておりません。