特定の OU 内のユーザーに対してのみパスワード変更権限を取り消すにはどうすればよいでしょうか?

Question 1

John Rennie 氏と Sam Cogan 氏の回答は (John 氏が的確に述べているように)、パスワードを変更するためのユーザーインターフェイスを無効にしようとしているものの、実際にユーザーがパスワードを変更する機能を奪うわけではないという点で「ハック」です。

ユーザーアカウントが配置されている OU に対して Active Directory がデフォルトで設定するアクセス許可の変更を求めていると思います。これについては警告しておきます。Microsoft は既にユーザーアカウントオブジェクトの属性を通じてこの機能を提供しているため、AD アクセス許可を変更するよりも、既に提供されている属性を使用する方がはるかに適切です。機能するアクセス許可が見つかる可能性はありますが、OS が役立つメッセージを表示しない可能性も同じくらいあります。

影響を受けるすべてのユーザーを Active Directory ユーザーとコンピューターを使用して一括で変更する必要があります。 Dart の回答は、すべてのユーザーアカウントを選択し、その「ユーザーはパスワードを変更できない」をグラフィカルに設定することと機能的に同じです。コマンドラインの方が好きな場合は、そのようにしてください。

Windows 2003 では、Active Directory のアクセス許可を使用して「拡張権限」でこれを行う機能があります。この機能に関する適切なドキュメントが見つかりません。パスワードの変更に関連する「拡張権限」の背景を以下に示します。最初のものは Active Directory の「アプリケーションモード」(または Microsoft が今週呼んでいる名前) に関連しています。

私は、テスト W2K3 Active Directory (Windows 2003 ドメイン機能レベル) 内の OU に「SELF - 拒否 - ユーザーオブジェクト - 拡張権限: パスワードの変更」権限を設定することで、Massimo の回答を検証しようとしましたが、その OU またはその下のユーザーオブジェクトは、GUI パスワード変更機能を使用してパスワードを変更できることが分かりました。各ユーザーオブジェクトを見ると、継承された「拒否」権限を確認できましたが、Active Directory はそれを無視しているようでした。

ユーザーオブジェクトの「SELF - 許可 - パスワードの変更」権限を削除するだけで、上記のテストと同じ機能が得られました。ユーザーは引き続きパスワードを変更することができました。

それを踏まえると、Massimo の答えもあなたが望むことではないと言えます。

私は見つけたこの記事マイクロソフトから入手してテストしてみました。スクリプトを個々のユーザーオブジェクトにターゲットすると、期待どおりに動作し、ユーザーはパスワードを変更できないただし、OU ごとに設定する必要があるため、これはあまり役に立ちません。

しかし、Microsoft のスクリプトを OU にターゲットすると、動作は期待どおりになります。(さらに、スクリプトによって許可されている「このオブジェクトのみ」ではなく、「このオブジェクトと子オブジェクト」に適用するように OU に追加された ACE を変更すると、動作はまだ期待通りではありません。

私は本当に頭を悩ませています。これは、よく文書化されていないActive Directoryの動作の奇妙な点のようです。「Active Directory ドメインサービス」そしてアクティブディレクトリスキーマドキュメントがあり、この動作を説明するドキュメントが見つかりません。

Answer

John Rennie 氏と Sam Cogan 氏の回答は (John 氏が的確に述べているように)、パスワードを変更するためのユーザーインターフェイスを無効にしようとしているものの、実際にユーザーがパスワードを変更する機能を奪うわけではないという点で「ハック」です。

ユーザーアカウントが配置されている OU に対して Active Directory がデフォルトで設定するアクセス許可の変更を求めていると思います。これについては警告しておきます。Microsoft は既にユーザーアカウントオブジェクトの属性を通じてこの機能を提供しているため、AD アクセス許可を変更するよりも、既に提供されている属性を使用する方がはるかに適切です。機能するアクセス許可が見つかる可能性はありますが、OS が役立つメッセージを表示しない可能性も同じくらいあります。

影響を受けるすべてのユーザーを Active Directory ユーザーとコンピューターを使用して一括で変更する必要があります。 Dart の回答は、すべてのユーザーアカウントを選択し、その「ユーザーはパスワードを変更できない」をグラフィカルに設定することと機能的に同じです。コマンドラインの方が好きな場合は、そのようにしてください。

Windows 2003 では、Active Directory のアクセス許可を使用して「拡張権限」でこれを行う機能があります。この機能に関する適切なドキュメントが見つかりません。パスワードの変更に関連する「拡張権限」の背景を以下に示します。最初のものは Active Directory の「アプリケーションモード」(または Microsoft が今週呼んでいる名前) に関連しています。

私は、テスト W2K3 Active Directory (Windows 2003 ドメイン機能レベル) 内の OU に「SELF - 拒否 - ユーザーオブジェクト - 拡張権限: パスワードの変更」権限を設定することで、Massimo の回答を検証しようとしましたが、その OU またはその下のユーザーオブジェクトは、GUI パスワード変更機能を使用してパスワードを変更できることが分かりました。各ユーザーオブジェクトを見ると、継承された「拒否」権限を確認できましたが、Active Directory はそれを無視しているようでした。

ユーザーオブジェクトの「SELF - 許可 - パスワードの変更」権限を削除するだけで、上記のテストと同じ機能が得られました。ユーザーは引き続きパスワードを変更することができました。

それを踏まえると、Massimo の答えもあなたが望むことではないと言えます。

私は見つけたこの記事マイクロソフトから入手してテストしてみました。スクリプトを個々のユーザーオブジェクトにターゲットすると、期待どおりに動作し、ユーザーはパスワードを変更できないただし、OU ごとに設定する必要があるため、これはあまり役に立ちません。

しかし、Microsoft のスクリプトを OU にターゲットすると、動作は期待どおりになります。(さらに、スクリプトによって許可されている「このオブジェクトのみ」ではなく、「このオブジェクトと子オブジェクト」に適用するように OU に追加された ACE を変更すると、動作はまだ期待通りではありません。

私は本当に頭を悩ませています。これは、よく文書化されていないActive Directoryの動作の奇妙な点のようです。「Active Directory ドメインサービス」そしてアクティブディレクトリスキーマドキュメントがあり、この動作を説明するドキュメントが見つかりません。

Question 2

見るhttp://support.microsoft.com/kb/324744

ただし、これはちょっとしたハックであることに注意してください。これは、ユーザーがパスワードを変更できないようにするものではなく、Ctrl + Alt + Del ダイアログからパスワードを変更するオプションを削除するだけです。ユーザーは、引き続きコマンドラインパスワードチェンジャーを使用できます。

JR

Answer

見るhttp://support.microsoft.com/kb/324744

ただし、これはちょっとしたハックであることに注意してください。これは、ユーザーがパスワードを変更できないようにするものではなく、Ctrl + Alt + Del ダイアログからパスワードを変更するオプションを削除するだけです。ユーザーは、引き続きコマンドラインパスワードチェンジャーを使用できます。

JR

Question 3

はい、グループポリシーを通じて行うことができます。制限する OU のグループポリシーエディターを開きます (OU を右クリックし、プロパティ、グループポリシータブ)。新しいポリシーを作成するか、既存のポリシーを編集して、次の場所に移動します。

User Configuration -> Administrative Templates -> System

ここで、Ctrl + Alt + Del オプションを選択し、右側のペインで「パスワードの変更を削除」オプションを有効にします。

グループポリシーエディタを閉じます。すぐに適用されるようにするには、コマンドプロンプトを開いて次のコマンドを実行します。

gpupdate /target:user /force

Answer