UserAccountControl フラグを使用してユーザー アカウントのプロパティを操作する
この記事では、 UserAccountControl 属性を使用してユーザー アカウントのプロパティを操作する方法について説明します。
適用対象: Windows Server 2012 R2
元の KB 番号: 305144
要約
ユーザー アカウントのプロパティを開き、[アカウント] タブをクリックし、[アカウント オプション] ダイアログ ボックスのチェック ボックスをオンまたはオフにすると、数値が UserAccountControl 属性に割り当てられます。 属性に割り当てられた値は、有効Windowsを示します。
ユーザー アカウントを表示するには、[スタート] を クリックし、[プログラム] をポイント し、[管理 ツール] をポイントして、[Active Directory ユーザーとコンピューター] をクリックします。
プロパティ フラグの一覧
これらの属性を表示および編集するには、Ldp.exeまたは Adsiedit.msc スナップインを使用します。
次の表に、割り当て可能なフラグの一覧を示します。 これらの値はディレクトリ サービスでのみ設定またはリセットできるので、ユーザーまたはコンピューター オブジェクトの値の一部を設定できません。 Ldp.exeは 16 進数で表示されます。 Adsiedit.msc は、10 進数で値を表示します。 フラグは累積的です。 ユーザーのアカウントを無効にするには、 UserAccountControl 属性を 0x0202 (0x002 + 0x0200) に設定します。 10 進数では 、514 (2 + 512) です。
注意
Active Directory は、Active Directory と Adsiedit.msc のLdp.exe直接編集できます。 これらのツールを使用して Active Directory を編集する必要があるのは、経験豊富な管理者のみです。 どちらのツールも、元のインストール メディアからサポート ツールをインストールした後Windows使用できます。
| プロパティ フラグ | 16 進数の値 | 10 進数の値 |
|---|---|---|
| SCRIPT | 0x0001 | 1 |
| ACCOUNTDISABLE | 0x0002 | 2 |
| HOMEDIR_REQUIRED | 0x0008 | 8 |
| LOCKOUT | 0x0010 | 16 |
| PASSWD_NOTREQD | 0x0020 | 32 |
| PASSWD_CANT_CHANGE UserAccountControl 属性を直接変更して、このアクセス許可を割り当てすることはできません。 アクセス許可をプログラムで設定する方法については、「プロパティ フラグの 説明」セクションを参照 してください。 |
0x0040 | 64 |
| ENCRYPTED_TEXT_PWD_ALLOWED | 0x0080 | 128 |
| TEMP_DUPLICATE_ACCOUNT | 0x0100 | 256 |
| NORMAL_ACCOUNT | 0x0200 | 512 |
| INTERDOMAIN_TRUST_ACCOUNT | 0x0800 | 2048 |
| WORKSTATION_TRUST_ACCOUNT | 0x1000 | 4096 |
| SERVER_TRUST_ACCOUNT | 0x2000 | 8192 |
| DONT_EXPIRE_PASSWORD | 0x10000 | 65536 |
| MNS_LOGON_ACCOUNT | 0x20000 | 131072 |
| SMARTCARD_REQUIRED | 0x40000 | 262144 |
| TRUSTED_FOR_DELEGATION | 0x80000 | 524288 |
| NOT_DELEGATED | 0x100000 | 1048576 |
| USE_DES_KEY_ONLY | 0x200000 | 2097152 |
| DONT_REQ_PREAUTH | 0x400000 | 4194304 |
| PASSWORD_EXPIRED | 0x800000 | 8388608 |
| TRUSTED_TO_AUTH_FOR_DELEGATION | 0x1000000 | 16777216 |
| PARTIAL_SECRETS_ACCOUNT | 0x04000000 | 67108864 |
注意
Windows Server 2003 ベースのドメインでは、LOCK_OUT と PASSWORD_EXPIRED は ms-DS-User-Account-Control-Computed という新しい属性に置き換えされています。 この新しい属性の詳細については、「 ms-DS-User-Account-Control-Computed 属性」を参照してください。
プロパティ フラグの説明
SCRIPT - ログオン スクリプトが実行されます。
ACCOUNTDISABLE - ユーザー アカウントが無効になっています。
HOMEDIR_REQUIRED - ホーム フォルダーが必要です。
PASSWD_NOTREQD - パスワードは必要ありません。
PASSWD_CANT_CHANGE - ユーザーはパスワードを変更できません。 ユーザーのオブジェクトに対するアクセス許可です。 このアクセス許可をプログラムで設定する方法については、「 Modifying User Cannot Change Password (LDAP Provider)」を参照してください。
ENCRYPTED_TEXT_PASSWORD_ALLOWED - ユーザーは暗号化されたパスワードを送信できます。
TEMP_DUPLICATE_ACCOUNT - プライマリ アカウントが別のドメインにあるユーザーのアカウントです。 このアカウントは、このドメインへのユーザー アクセスを提供しますが、このドメインを信頼するドメインにはアクセスできません。 ローカル ユーザー アカウントと呼ばれる場合があります。
NORMAL_ACCOUNT - 一般的なユーザーを表す既定のアカウントの種類です。
INTERDOMAIN_TRUST_ACCOUNT - 他のドメインを信頼するシステム ドメインのアカウントを信頼する許可です。
WORKSTATION_TRUST_ACCOUNT - Microsoft Windows NT 4.0 ワークステーション、Microsoft Windows NT 4.0 Server、Microsoft Windows 2000 Professional、または Windows 2000 Server を実行しているコンピューターのコンピューター アカウントであり、このドメインのメンバーです。
SERVER_TRUST_ACCOUNT - このドメインのメンバーであるドメイン コントローラーのコンピューター アカウントです。
DONT_EXPIRE_PASSWD - アカウントで有効期限が切れることはありませんパスワードを表します。
MNS_LOGON_ACCOUNT - MNS ログオン アカウントです。
SMARTCARD_REQUIRED - このフラグを設定すると、ユーザーはスマート カードを使用して強制的にログオンします。
TRUSTED_FOR_DELEGATION - このフラグを設定すると、サービスを実行するサービス アカウント (ユーザーまたはコンピューター アカウント) が Kerberos 委任に対して信頼されます。 そのようなサービスは、サービスを要求するクライアントを偽装できます。 Kerberos 委任のサービスを有効にするには、サービス アカウントの userAccountControl プロパティにこのフラグを設定する必要があります。
NOT_DELEGATED - このフラグを設定すると、Kerberos 委任に対してサービス アカウントが信頼済みとして設定されている場合でも、ユーザーのセキュリティ コンテキストはサービスに委任されません。
USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) キーにデータ暗号化標準 (DES) 暗号化の種類のみを使用するには、このプリンシパルを制限します。
DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) このアカウントは、ログオンに Kerberos 事前認証を必要としません。
PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) ユーザーのパスワードの有効期限が切れています。
TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) アカウントは委任が有効になっています。 これはセキュリティに敏感な設定です。 このオプションが有効になっているアカウントは、厳しく制御する必要があります。 この設定を使用すると、アカウントで実行されるサービスは、クライアントの ID を引き受け、そのユーザーとしてネットワーク上の他のリモート サーバーに対して認証できます。
PARTIAL_SECRETS_ACCOUNT - (Windows Server 2008/Windows Server 2008 R2) アカウントは読み取り専用ドメイン コントローラー (RODC) です。 これはセキュリティに敏感な設定です。 RODC からこの設定を削除すると、そのサーバーのセキュリティが損なわれる。
UserAccountControl の値
特定のオブジェクトの既定の UserAccountControl 値を次に示します。
- 一般的なユーザー: 0x200 (512)
- ドメイン コントローラー: 0x82000 (532480)
- ワークステーション/サーバー: 0x1000 (4096)