「アカウントポリシー」でユーザーのパスワード設定を定義する基礎から分かるグループポリシー再入門(20)(1/3 ページ)

今回は、グループポリシーの代表的な設定の1つである「アカウントポリシー」を、「グループポリシーの管理」と「Active Directory管理センター」で柔軟に構成する方法を紹介する。

» 2016年06月10日 05時00分 公開
[新井慎太朗株式会社ソフィアネットワーク]
「基礎から分かるグループポリシー再入門」のインデックス

連載目次

アカウントポリシーとは?

 「アカウントポリシー」は、ユーザーアカウントのパスワードに関する設定などを定義するグループポリシー項目の1つだ。例えば、アカウントポリシーでは以下のような項目を定義できる。

  • ユーザーアカウントのパスワードに使用できる最少文字数
  • 同一のパスワードを使い続けることができる期間
  • アカウントをロックアウトするまでの試行回数(しきい値)とロックアウト期間

 つまり、アカウントポリシーを簡単に説明すると「ユーザーのパスワードやロックアウトについてのルールを定義する場所」ということになる。上記の設定項目は、代表的なアカウントポリシーであり、筆者もグループポリシーを学び始めたときには、まずこれらの設定項目から勉強した。

 アカウントポリシーは、グループポリシーの編集画面から「コンピューターの構成」→「ポリシー」→「Windowsの設定」→「セキュリティの設定」を展開した「アカウントポリシー」で設定する。

 「アカウントポリシー」の配下には、さらに「パスワードのポリシー」「アカウントロックアウトのポリシー」「Kerberosポリシー」の3項目があり、それぞれの中に幾つかの設定項目が用意されている(画面1)。

画面1 画面1 「アカウントポリシー」配下にある「パスワードのポリシー」設定画面

アカウントポリシーの”特殊仕様”とは?

 本連載第1回「グループポリシーの仕組み、理解できていますか?」でも説明したように、「グループポリシーオブジェクト(GPO)」は、Active Directoryのサイト、ドメイン、OU(Organizational Unit:組織単位)のいずれかにリンクして適用する。

 それぞれにリンクされたGPOの定義内容は累積的に適用されるが、競合があった場合のために“優先順位”もあらかじめ決められている。適用の優先順位は、「OU」→「ドメイン」→「サイト」の順だ。例えば、OUとドメインにリンクされたGPOで競合する設定があった場合には、OUにリンクされたGPOの内容が優先される。これが、グループポリシーの通常の動作になる。

 しかし、アカウントポリシー配下の設定に関しては“特殊仕様”になっており、「ドメインにリンクされたGPOだけ」が処理されるようになっている。

 また、ドメインに複数のGPOがリンクされている場合には、その中で「最も優先順位が高いGPO」だけが処理される。つまり、既定では「Default Domain Policy」で定義されたアカウントポリシーだけが有効になる。そのため、GPOを新規作成してアカウントポリシーを定義し、それを特定のOUにリンクしても「意味がない」のだ。言い換えれば、「アカウントポリシーはドメイン内で1つしか定義することができない」ということになる。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。