- - PR -
パスワードの有効期限について
投稿者 | 投稿内容 | ||||||||
---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2007-10-17 15:04
初めて投稿します。
皆さんのご意見を教えてください。 ActiveDirectoryの パスワードポリシーで有効期限を『0』に設定して いるのですが、セキュリティーの観点から 有効期限を設けようと思っています。 各OUでそれぞれのポリシーを設定してみたのですが どうもうまくいきませんでした。 色々調べているとパスワードポリシーは ドメイン単位でしか設定できないという意見をいくつか 拝見しました。 adminユーザだけパスワード無期限にしたいのですが ドメインが1つの場合は出来ないのでしょうか? | ||||||||
|
投稿日時: 2007-10-17 15:29
こんにちは。
試したことはありませんが、ドメインパスワードを有効期限付きに設定し、 administratorだけ無期限パスワードの設定をすれば可能かと。 # 但し、Microsoftは無保証だと明記してます。 | ||||||||
|
投稿日時: 2007-10-17 17:48
ただの意見ではなく、仕様です。 http://www.microsoft.com/japan/technet/windowsserver/2003/technologies/directory/activedirectory/stepbystep/strngpw.mspx の「パスワード ポリシー情報の保存」あたりに説明があります。
アカウント単位でパスワード期限についてのポリシーを迂回したい場合は、 アカウントオプションの「パスワードを無期限にする」にチェックを入れてください。 これがGPOのパスワード期限のポリシーを上書きする方法であり使い方です。 (理由も分からずにこのチェックボックス使ってる人を結構見かけますが。) BackDoorさんの提示してる方法は、このチェックボックス設定をスクリプトで行う方法であり、 保障云々はこのスクリプトに関しての話です。 イレギュラーな方法としては、設定を行うGPOのアクセス権設定にて、 設定を適用したくないユーザ/グループ/OUに対して、読み取りアクセス権を 取り払う・拒否する方法もあります。 | ||||||||
|
投稿日時: 2007-10-18 15:45
BackDoorさん
Mattunさん ありがとうございます。 お二人に紹介してもらったサイトを見て 勉強しながら再度確認してみたいと思います。 | ||||||||
|
投稿日時: 2007-10-19 09:57
ご報告です。
ドメインポリシーでパスワードの有効期限を0日にして 一般ユーザのアカウントオプションで 次回ログオン時にパスワードの変更をチェックした所 ポリシーの上書きがされたことを確認できました。 よって、ドメインポリシーを一定期間にし、 adminのみアカウントポリシーを無期限にしてみようと思います。 | ||||||||
|
投稿日時: 2007-10-22 10:22
ちなみに
グループポリシー -> Windowsの設定 -> アカウントポリシー -> パスワードのポリシーって 設定しても意味がないということですよね? (ドメインコントロールPC)では | ||||||||
|
投稿日時: 2007-10-22 10:31
意味はなくは無いです。 ドメインコントローラの管理ツール内では、 ・ドメイン セキュリティポリシー ・ドメインコントローラセキュリティポリシー の2つが表示されますが、全社はDefault Domain Policy、 後者はDefault Domain Controllers Policyが実態です。 前者はリンク先がドメインですから、「ドメイン全体に」設定が反映され、 後者はDomain Controllersがリンク先だから反映されない(パスワードポリシーについては)、 となります。 非DCの場合は、管理ツールで表示されるのは、ローカルセキュリティポリシーです。 これを設定すれば、そのマシンのローカルアカウントには設定が適用されます。 ドメインアカウント、ローカルアカウント、 それぞれドメインSAM、ローカルSAMで管理され、 パスワードポリシーはそれぞれ、 ドメインSAMへリンクされたGPO(Default Domain Policy)、 ローカルSAMへリンクされたGPO(ローカルセキュリティポリシー)で 制御されます。 という概念を理解してください。 | ||||||||
|
投稿日時: 2007-10-22 14:10
Mattunさん、どうもありがとうございました。
勉強になりました。 |