■
オブジェクト制御の委任ウィザードに、アカウントのロックを解除するアクセス許可 (lockoutTime) が表示されるようにするには、次の手順を実行します。
1. Active Directory ユーザーとコンピュータ コンソールの実行に使用する Windows 2000 ベースのコンピュータで、ワードパッドを使用して %Systemroot%\System32\Dssec.dat ファイルを開きます。
2. [編集] メニューの [検索] をクリックし、[user] を検索します (角かっこを含みます)。
3. [user] の下の lockoutTime を探します。各項目はアルファベット順に並んでいます。
4. lockoutTime に設定されている値を lockoutTime=7 から lockoutTime=0 に変更します。
5. [ファイル] メニューの [上書き保存] をクリックします。書式情報に関する警告メッセージが表示されたら、[はい] をクリックします。これにより、オブジェクト制御の委任ウィザードで、ユーザーに割り当てるアクセス許可として lockoutTime の読み取りと書き込みが選択できるようになります。
グループまたはユーザーにアクセス許可を委任するには、次の手順を実行します。
1. Active Directory ユーザーとコンピュータを使用して、ユーザー アカウントのロックを解除するアクセス許可を付与するグループまたはユーザーアカウントを作成します (たとえば、Help Desk Admins という名前のグループを作成します)。
2. Active Directory ユーザーとコンピュータで、ドメインを右クリックし、[制御の委任] をクリックします。
3. オブジェクト制御の委任ウィザードが表示されます。[オブジェクト制御の委任ウィザードの開始] ダイアログ ボックスで、[次へ] をクリックします。
4. [ユーザーまたはグループ] ダイアログ ボックスで、[追加] をクリックします。アカウントのロックを解除するアクセス許可を付与するグループを一覧から選択し、[OK] をクリックします。[ユーザーまたはグループ] ダイアログ ボックスで、[次へ] をクリックします。
5. [委任するタスク] ダイアログ ボックスで、[委任するカスタム タスクを作成する] をクリックし、[次へ] をクリックします。
6. [Active Directory オブジェクトの種類] ダイアログ ボックスで、[フォルダ内の次のオブジェクトのみ] をクリックします。一覧で、[ユーザー オブジェクト] チェック ボックスをオンにし、[次へ] をクリックします。
7. [アクセス許可] ダイアログボックスで、[全般] チェック ボックスをオフにし、[プロパティ固有] チェック ボックスをオンにします。[アクセス許可] ボックスの一覧で、[lockoutTime の読み取り] チェック ボックスをオンにし、[lockoutTime の書き込み] チェックボックスをオンにして、[次へ] をクリックします。
8. [オブジェクト制御の委任ウィザードの完了] ダイアログ ボックスで、[完了] をクリックします。
この資料に記載されている手順を実行すると、特定のドメインまたは組織単位 (OU) のグループまたはユーザーに、アカウントの lockoutTime の読み取りと lockoutTime の書き込みのアクセス許可を委任できます。アカウント ポリシーはドメイン固有であるため、アカウントのロックアウトポリシーはドメイン全体に対してのみ適用できます。OU またはその他のコンテナの lockoutTime 属性の読み取りおよび書き込みのアクセス許可が与えられているユーザーまたはグループは、そのコンテナに属しているユーザーアカウントのロックを解除できます。このアクセス許可が与えられているユーザーまたはグループが、アクセス許可を保持しているコンテナに含まれている必要はありません。この委任は、他のドメインのアクセス許可やポリシーに影響を与えることはありません。これは、同じフォレスト内のドメインについても同様であり、委任を行ったドメインがフォレストのルート ドメインである場合も同様です。
ロックアウトの解除について色々やってるうちになぜかできるようになってましたorz
[user] の下に lockoutTime がなかったので lockoutTime=0 と追記したのがよかったんかなぁ?
後段の制御の委任は既にやってあったのかも。
コンピュータアカウントの管理について - Windows Server Insider
特定ユーザーのみロックアウト ポリシーを無効にする(ふうの)方法 - エンジニアの魂
