- PR -

アカウント有効化のためのアクセス許可エントリについて

1
投稿者投稿内容
ゆいたん
ベテラン
会議室デビュー日: 2004/08/26
投稿数: 91
投稿日時: 2007-12-08 16:48
環境:Windows2003

各OUごとに担当者を設けアカウント有効化を委任したいと考えています。
とりあえずWSHで行います。
現在、アクセス許可エントリにてuserAccountControlプロパティの
Read/Writeを設定し、動作することを確認しております。
ただ、こちらの方法ですと他の属性も設定できてしまうと推測しています。
# 例えば、パスワードを無期限にする etc.

また、アカウントの制限のRead/Writeでも動作を確認しています。
コレがどんなことを許可しているのかがわかりません。

最小のアクセス許可エントリを設定したいと考えていますが、
どのプロパティがそれにあたるのでしょうか。

ご存知の方がいらっしゃいましたら教えてください。
チャブーン
大ベテラン
会議室デビュー日: 2006/11/25
投稿数: 149
投稿日時: 2007-12-09 03:20
チャブーンです。

もし、ゆいたんさんのご希望が ACL だけで "ユーザアカウントの有効/無効だけ" を特定のユーザに委任したい、というなら、ムリですよ。

すでに調べがついているとは思いますが、userAccountControl 属性の特定フラグ値で設定されるためで、他の設定と区別する方法がないからです。

http://support.microsoft.com/kb/305144/ja

> また、アカウントの制限のRead/Writeでも動作を確認しています。
> コレがどんなことを許可しているのかがわかりません。

それは、関連するいくつかのプロパティを組み合わせたプロパティセットとなるはずです。私が見た限り、こんな記述がありましたよ。

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ja/library/ServerHelp/2044d125-cfb2-428c-aa8c-c4e5ac007ba4.mspx

----
ユーザー アカウントの制限
アカウントの制限を記述しているユーザー属性を含むプロパティ セット。
適用対象 : コンピュータ、ユーザー

・ accountExpires
・ pwdLastSet
・ userAccountControl
・ userParameters
・ tokenGroupsNoGCAcceptable
----

"ヘルプとサポート" にも同じ記述があります。

[ メッセージ編集済み 編集者: チャブーン 編集日時 2007-12-09 03:23 ]
ゆいたん
ベテラン
会議室デビュー日: 2004/08/26
投稿数: 91
投稿日時: 2007-12-10 17:37
ユーザー アカウントの制限については非常に参考になりました。
私の探し方が悪く、これが何を意味するのかわかりませんでしたが、
アーティクルを読んで理解しました。

userAccountControlのRead/Writeで対応しようと思います。

チャブーンさんありがとうございました。
1

スキルアップ/キャリアアップ(JOB@IT)