細かい設定が可能なパスワードおよびアカウント ロックアウトのポリシー設定のメモ
旧称「きめ細やかなパスワード ポリシー」のメモです。
前提条件
- ドメインの機能レベルは Windows Server 2008 以上
- 指定対象はユーザーまたはグローバル セキュリティ グループ
なお、ローカル ドメイン グループやユニバーサル グループは効果がありません。 - 2つ以上の指定が可能
設定
Step 1 PSO の作成
PSO (パスワード セキュリティ オブジェクト) を作成するために ADSI エディターを開きます。
[CN=Password Settings Container] 右クリック - [新規] - [オブジェクト]
[オブジェクトの作成] ダイアログ ボックスの [クラスを選択] で、[msDS-PasswordSettings] が選択されています。[次へ]
以下の値を順に入れていきます。
adsiedit.mscCN=Password Settings Container,CN=System,DC=sample,DC=tld を開く
[CN=Password Settings Container] 右クリック - [新規] - [オブジェクト]
[オブジェクトの作成] ダイアログ ボックスの [クラスを選択] で、[msDS-PasswordSettings] が選択されています。[次へ]
以下の値を順に入れていきます。
| 属性 | 説明 | 構文 | 設定例 |
| cn | PSO の名前 | Unicode 文字列 | UPKEN_PSO |
| msDS-PasswordSettingsPrecedence | パスワード設定の優先順位。値の小さい方が優先 | 整数 (1 - ) | 10 |
| msDS-PasswordReversibleEncryptionEnabled | 暗号化を元に戻せる状態でパスワードを保存する。TRUE は元に戻せる | ブール値 | FALSE |
| msDS-PasswordHistoryLength | パスワードの履歴を記録する。0 は記録しない | 整数(0 - 1024) | 24 |
| msDS-PasswordComplexityEnabled | 複雑さの要件を満たす必要があるパスワード (アカウントのパスワードを複雑にする) | ブール値 | TRUE |
| msDS-MinimumPasswordLength | パスワードの最小の長さ | 整数 (0 - 255) | 8 |
| msDS-MinimumPasswordAge | パスワードの変更禁止期間。1:00:00:00 で 1日 | 期間 ( - msDS-MaximumPasswordAge) | 1:00:00:00 |
| msDS-MaximumPasswordAge | パスワードの有効期間。42:00:00:00 で 42日 | 期間 (msDS-MinimumPasswordAge - ) | 42:00:00:00 |
| msDS-LockoutThreshold | アカウントのロックアウトのしきい値。0 はロックアウトしない | 整数 (0 - 65535) | 10 |
| msDS-LockoutObservationWindow |
アカウントのロックアウト監視期間。 0:00:30:00 で 30分間監視し、それを過ぎるとロックアウトのカウンターをリセットする。 |
期間 (00:00:00:01 - msDS-LockoutDuration) | 0:00:30:00 |
| msDS-LockoutDuration | ロックアウト期間。0:00:30:00 で 30分 | 期間 (msDS-LockoutObservationWindow - ) | 0:00:30:00 |
Step 2 作成した PSO をユーザーやグループへ適用
[Active Directory ユーザーとコンピューター]を開き、[表示] - [拡張機能] をオン
(ユーザーのドメイン)/System/Password Settings Container を開く。(名称は[パスワード設定コンテナ]になっているかもしれません。)
先ほど作成したPSOファイルをダブル クリックし、[属性エディタ]タブを開く。
msDS-PSOAppliesTo を選択して[編集]、[Windows アカウントを追加]から任意のユーザーとグループを指定する。
(ユーザーのドメイン)/System/Password Settings Container を開く。(名称は[パスワード設定コンテナ]になっているかもしれません。)
先ほど作成したPSOファイルをダブル クリックし、[属性エディタ]タブを開く。
msDS-PSOAppliesTo を選択して[編集]、[Windows アカウントを追加]から任意のユーザーとグループを指定する。
どのパスワード ポリシーが反映されているか確認する方法
GUIで探す場合
値が無ければデフォルトのパスワード ポリシーです。
値が無ければデフォルトのパスワード ポリシーです。
[Active Directory ユーザーとコンピューター]を開き、[表示] - [拡張機能] をオン
確認したいユーザーアカウントのプロパティを開き、
[属性エディタ]タブ - [フィルタ]
[属性の表示] - [オプション] - オン
[読み取り専用属性の表示] - [構築済み] - オン
[属性] の一覧で、msDS-ResultantPSO 属性の値を探す。
コマンドラインで探す場合
値が無ければデフォルトのパスワード ポリシーです。
値が無ければデフォルトのパスワード ポリシーです。
dsquery user -name ユーザー名 | dsget user -samid -effectivepso
作成したポリシーを削除する
作成したのと同じ手順で直接オブジェクトを削除してかまいません。
既知の不具合
Windows XP および Windows Server 2003 R2 以前の OS からパスワードを変更する際に、パスワード ポリシーの制限で変更に失敗するとエラーメッセージが表示されますが、その時に表示される内容が、Default Domain Policy に指定されたパスワード ポリシーになります。
Windows Vista または Windows Server 2008 以降はパスワード ポリシーの制限に引っかかっても、制限の内容を表示しないので問題ありません。
Windows Vista または Windows Server 2008 以降はパスワード ポリシーの制限に引っかかっても、制限の内容を表示しないので問題ありません。
参考リンク
タグ: Active Directory