特定の OU 内のユーザーに対してのみパスワード変更権限を取り消すにはどうすればよいでしょうか?

特定の OU 内のユーザーに対してのみパスワード変更権限を取り消すにはどうすればよいでしょうか?

アクティブ ディレクトリのパスワード変更権限について質問があります。特定の OU のユーザーのパスワード変更権限を取り消すことは可能ですか?

このタスクをどのように実行できますか? 特定のユーザー グループに対して実行できることはわかっていますが、特定の OU 内のユーザーに対しては可能ですか?

アップデート

皆さんの回答に感謝します。本当に役に立ちました。残念ながら、私の評価が低いため、これらの回答に賛成票を投じることはできません ;)

ユーザーの 95% は、私が書いている OU にいます。Everyone グループからパスワード変更権限を削除し、パスワードを変更できるユーザー用のグループを作成することを考えています。問題は、この OU のユーザーが別のアプリケーションにいて、AD ではなくこのアプリを使用してパスワードを変更する必要があることです。この OU にいないユーザーは AD にのみ存在するため、AD でパスワードを変更できます。

それは良い解決策だと思いますか、それとも問題があると思いますか?

手伝ってくれてありがとう。

答え1

John Rennie 氏と Sam Cogan 氏の回答は (John 氏が的確に述べているように)、パスワードを変更するためのユーザー インターフェイスを無効にしようとしているものの、実際にユーザーがパスワードを変更する機能を奪うわけではないという点で「ハック」です。

ユーザー アカウントが配置されている OU に対して Active Directory がデフォルトで設定するアクセス許可の変更を求めていると思います。これについては警告しておきます。Microsoft は既にユーザー アカウント オブジェクトの属性を通じてこの機能を提供しているため、AD アクセス許可を変更するよりも、既に提供されている属性を使用する方がはるかに適切です。機能するアクセス許可が見つかる可能性はありますが、OS が役立つメッセージを表示しない可能性も同じくらいあります。

影響を受けるすべてのユーザーを Active Directory ユーザーとコンピューターを使用して一括で変更する必要があります。 Dart の回答は、すべてのユーザー アカウントを選択し、その「ユーザーはパスワードを変更できない」をグラフィカルに設定することと機能的に同じです。 コマンド ラインの方が好きな場合は、そのようにしてください。

Windows 2003 では、Active Directory のアクセス許可を使用して「拡張権限」でこれを行う機能があります。この機能に関する適切なドキュメントが見つかりません。パスワードの変更に関連する「拡張権限」の背景を以下に示します。最初のものは Active Directory の「アプリケーション モード」(または Microsoft が今週呼んでいる名前) に関連しています。

私は、テスト W2K3 Active Directory (Windows 2003 ドメイン機能レベル) 内の OU に「SELF - 拒否 - ユーザー オブジェクト - 拡張権限: パスワードの変更」権限を設定することで、Massimo の回答を検証しようとしましたが、その OU またはその下のユーザー オブジェクトは、GUI パスワード変更機能を使用してパスワードを変更できることが分かりました。各ユーザー オブジェクトを見ると、継承された「拒否」権限を確認できましたが、Active Directory はそれを無視しているようでした。

ユーザー オブジェクトの「SELF - 許可 - パスワードの変更」権限を削除するだけで、上記のテストと同じ機能が得られました。ユーザーは引き続きパスワードを変更することができました。

それを踏まえると、Massimo の答えもあなたが望むことではないと言えます。

私は見つけたこの記事マイクロソフトから入手してテストしてみました。スクリプトを個々のユーザーオブジェクトにターゲットすると、期待どおりに動作し、ユーザーはパスワードを変更できないただし、OU ごとに設定する必要があるため、これはあまり役に立ちません。

しかし、Microsoft のスクリプトを OU にターゲットすると、動作は期待どおりになります。(さらに、スクリプトによって許可されている「このオブジェクトのみ」ではなく、「このオブジェクトと子オブジェクト」に適用するように OU に追加された ACE を変更すると、動作はまだ期待通りではありません。

私は本当に頭を悩ませています。これは、よく文書化されていないActive Directoryの動作の奇妙な点のようです。「Active Directory ドメイン サービス」そしてアクティブ ディレクトリ スキーマドキュメントがあり、この動作を説明するドキュメントが見つかりません。

答え2

見るhttp://support.microsoft.com/kb/324744

ただし、これはちょっとしたハックであることに注意してください。これは、ユーザーがパスワードを変更できないようにするものではなく、Ctrl + Alt + Del ダイアログからパスワードを変更するオプションを削除するだけです。ユーザーは、引き続きコマンド ライン パスワード チェンジャーを使用できます。

JR

答え3

はい、グループ ポリシーを通じて行うことができます。制限する OU のグループ ポリシー エディターを開きます (OU を右クリックし、プロパティ、グループ ポリシー タブ)。新しいポリシーを作成するか、既存のポリシーを編集して、次の場所に移動します。

User Configuration -> Administrative Templates -> System

ここで、Ctrl + Alt + Del オプションを選択し、右側のペインで「パスワードの変更を削除」オプションを有効にします。

グループポリシーエディタを閉じます。すぐに適用されるようにするには、コマンドプロンプトを開いて次のコマンドを実行します。

gpupdate /target:user /force

答え4

「SELF」に割り当てられたユーザー権限から「パスワードの変更」を削除(または明示的に拒否)することで、特定のユーザーに対してこれを行う権限を削除できます。

ユーザー オブジェクト自体の ACL を手動で編集する必要があります。これには、Active Directory ユーザーとコンピューター コンソール ([表示] -> [高度な機能]) で高度な機能を有効にし、ユーザーのプロパティを開いて [セキュリティ] を選択することでアクセスできます。

関連情報