- PR -

パスワードの有効期限について

投稿者

投稿内容

京: ベテラン; 会議室デビュー日: 2007/10/17; 投稿数: 58

投稿日時: 2007-10-17 15:04

初めて投稿します。
皆さんのご意見を教えてください。

ActiveDirectoryの
パスワードポリシーで有効期限を『0』に設定して
いるのですが、セキュリティーの観点から
有効期限を設けようと思っています。

各OUでそれぞれのポリシーを設定してみたのですが
どうもうまくいきませんでした。

色々調べているとパスワードポリシーは
ドメイン単位でしか設定できないという意見をいくつか
拝見しました。

adminユーザだけパスワード無期限にしたいのですが
ドメインが1つの場合は出来ないのでしょうか？

BackDoor: ぬし; 会議室デビュー日: 2006/02/20; 投稿数: 831

投稿日時: 2007-10-17 15:29

こんにちは。

引用:
初心者さんの書き込み (2007-10-17 15:04) より: セキュリティーの観点から有効期限を設けようと思っています。 adminユーザだけパスワード無期限にしたいのですがドメインが1つの場合は出来ないのでしょうか？

試したことはありませんが、ドメインパスワードを有効期限付きに設定し、
administratorだけ無期限パスワードの設定をすれば可能かと。
#　但し、Microsoftは無保証だと明記してます。

Mattun: ぬし; 会議室デビュー日: 2004/08/10; 投稿数: 1391

投稿日時: 2007-10-17 17:48

引用:
各OUでそれぞれのポリシーを設定してみたのですがどうもうまくいきませんでした。色々調べているとパスワードポリシーはドメイン単位でしか設定できないという意見をいくつか拝見しました。

ただの意見ではなく、仕様です。
http://www.microsoft.com/japan/technet/windowsserver/2003/technologies/directory/activedirectory/stepbystep/strngpw.mspx
の「パスワードポリシー情報の保存」あたりに説明があります。

引用:
adminユーザだけパスワード無期限にしたいのですがドメインが1つの場合は出来ないのでしょうか？

アカウント単位でパスワード期限についてのポリシーを迂回したい場合は、
アカウントオプションの「パスワードを無期限にする」にチェックを入れてください。
これがGPOのパスワード期限のポリシーを上書きする方法であり使い方です。
(理由も分からずにこのチェックボックス使ってる人を結構見かけますが。)

BackDoorさんの提示してる方法は、このチェックボックス設定をスクリプトで行う方法であり、
保障云々はこのスクリプトに関しての話です。

イレギュラーな方法としては、設定を行うGPOのアクセス権設定にて、
設定を適用したくないユーザ/グループ/OUに対して、読み取りアクセス権を
取り払う・拒否する方法もあります。

京: ベテラン; 会議室デビュー日: 2007/10/17; 投稿数: 58

投稿日時: 2007-10-18 15:45

BackDoorさん
Mattunさん

ありがとうございます。
お二人に紹介してもらったサイトを見て
勉強しながら再度確認してみたいと思います。

京: ベテラン; 会議室デビュー日: 2007/10/17; 投稿数: 58

投稿日時: 2007-10-19 09:57

ご報告です。

ドメインポリシーでパスワードの有効期限を0日にして
一般ユーザのアカウントオプションで
次回ログオン時にパスワードの変更をチェックした所
ポリシーの上書きがされたことを確認できました。

よって、ドメインポリシーを一定期間にし、
adminのみアカウントポリシーを無期限にしてみようと思います。

京: ベテラン; 会議室デビュー日: 2007/10/17; 投稿数: 58

投稿日時: 2007-10-22 10:22

ちなみに
グループポリシー -> Windowsの設定 -> アカウントポリシー
->　パスワードのポリシーって
設定しても意味がないということですよね？
(ドメインコントロールPC)では

Mattun: ぬし; 会議室デビュー日: 2004/08/10; 投稿数: 1391

投稿日時: 2007-10-22 10:31

引用:
グループポリシー -> Windowsの設定 -> アカウントポリシー ->　パスワードのポリシーって設定しても意味がないということですよね？ (ドメインコントロールPC)では

意味はなくは無いです。

ドメインコントローラの管理ツール内では、
・ドメインセキュリティポリシー
・ドメインコントローラセキュリティポリシー
の2つが表示されますが、全社はDefault Domain Policy、
後者はDefault Domain Controllers Policyが実態です。

前者はリンク先がドメインですから、「ドメイン全体に」設定が反映され、
後者はDomain Controllersがリンク先だから反映されない(パスワードポリシーについては)、
となります。

非DCの場合は、管理ツールで表示されるのは、ローカルセキュリティポリシーです。
これを設定すれば、そのマシンのローカルアカウントには設定が適用されます。

ドメインアカウント、ローカルアカウント、
それぞれドメインSAM、ローカルSAMで管理され、
パスワードポリシーはそれぞれ、
ドメインSAMへリンクされたGPO(Default Domain Policy）、
ローカルSAMへリンクされたGPO(ローカルセキュリティポリシー)で
制御されます。

という概念を理解してください。

京: ベテラン; 会議室デビュー日: 2007/10/17; 投稿数: 58

投稿日時: 2007-10-22 14:10

Mattunさん、どうもありがとうございました。
勉強になりました。

1|2 次のページへ»

＠IT SpecialPR

パスワードの有効期限について

スキルアップ／キャリアアップ（JOB@IT）