Active Directory ドメイン コントローラーでのネットワーク管理機能の要件

Active Directory を実行しているドメイン コントローラーで、このトピックに記載されているネットワーク管理機能のいずれかを呼び出すと、そのオブジェクトのアクセス制御リスト (ACL) に基づいて、セキュリティ保護可能なオブジェクトへのアクセスが許可または拒否されます。 (ACL はディレクトリで指定されます)。

情報クエリと情報の更新には、さまざまなアクセス要件が適用されます。

クエリ

クエリの場合、既定の ACL では、"Pre-Windows 2000 互換アクセス" グループのすべての認証済みユーザーとメンバーが情報の読み取りと列挙を許可します。 次に示す関数が影響を受ける:

グループ情報への匿名アクセスでは、ユーザー Anonymous を "Pre-Windows 2000 互換アクセス" グループに明示的に追加する必要があります。 これは、匿名トークンに Everyone グループ SID が含まれていないためです。

Windows 2000: 既定では、"Windows 2000 より前の互換性のあるアクセス" グループには、メンバーとして Everyone が含まれます。 これにより、システムで匿名アクセスが許可されている場合、情報への匿名アクセス (匿名ログオン) が有効になります。 管理者は、いつでも [Windows 2000 互換アクセス] グループから Everyone を削除できます。 グループから Everyone を削除すると、認証されたユーザーのみに情報アクセスが制限されます。 匿名アクセスの詳細については、「 セキュリティ識別子既知の SID」を参照してください。

レジストリの次のキーを値 1 に設定することで、システムの既定値をオーバーライドできます。

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LsaEveryoneIncludesAnonymous = 1

これら 2 つの関数を呼び出すときのグループ情報への匿名アクセスの詳細については、「 NetWkstaGetInfo 」と 「NetWkstaUserEnum 」を参照してください。

更新プログラム

更新プログラムの場合、既定の ACL では、ドメイン管理者とアカウントオペレーターのみが情報を書き込めます。 例外の 1 つは、ユーザーが自分のパスワードを変更し、usri*_usr_comment フィールドを設定できることです。 もう 1 つの例外は、アカウントオペレーターが管理アカウントを変更できないことです。 次に示す関数が影響を受ける:

通常、呼び出し元は、NetUserModalsSet、NetUserSetInfoNetGroupSetInfoNetLocalGroupSetInfo の呼び出しを成功させるには、オブジェクト全体への書き込みアクセス権を持っている必要があります。 より細かいアクセス制御を行うには、ADSI の使用を検討する必要があります。 ADSI の詳細については、「 Active Directory サービス インターフェイス」を参照してください。

セキュリティ保護可能なオブジェクトへのアクセスの制御の詳細については、「Access Control特権、セキュリティ保護可能なオブジェクト」を参照してください。 管理者特権を必要とする関数の呼び出しの詳細については、「 特別な特権を使用した実行」を参照してください。