> エディラボ > ネットワーク構築のためのヒントと技術解説 > Active Directory ドメインユーザーのアカウントポリシー > Active Directory ドメインユーザーのアカウントポリシー(1/3)

Active Directory ドメインユーザーのアカウントポリシー(1/3)

Active Directory ドメインユーザーのアカウントポリシー(1/3)

ActiveDirectoryについて、さらに詳しく学びたい方はこちら
本記事は@ITで掲載している「Windows Server 2012 x「ちょっとだけ連携」でネットワーク管理を便利に(3)」と連動しています。
Active Directoryでは、ユーザーの最短パスワード長や、同じパスワードを使い続けられる日数、パスワードをたて続けに間違えて入力した場合にそのアカウントを一時的にロックするための設定など、パスワードにかかわるさまざまな設定をドメインユーザーに対して強制することができます。
これらのユーザーのパスワードにかかわる設定を「アカウントポリシー」といいます。

アカウントポリシーを設定する方法には、次の3つがあります。

1.すべてのドメインユーザーに適用する(ドメインのグループポリシー)
ドメインユーザー全員に対する共通のアカウントポリシーを設定します。

2.一部のドメインユーザーに適用する(FGPP)
ドメインユーザー全員に対する共通のアカウントポリシーを設定します。

3.リモートアクセスやRADIUSサーバーで認証される時だけ適用する(レジストリの直接変更)
ドメインユーザー全員に対する共通のアカウントポリシーを設定します。

ダイヤルアップやリモートアクセスVPNなどの、ネットワークアクセスサーバー経由の認証や、RADIUSサーバーを経由した認証が行われた時だけ適用されます。
通常のWindowsログオン時には適用されません。

たとえば、「1」ですべてのユーザーに対するポリシーを設定し、管理者や管理職など一部のユーザーに対して一般社員よりも厳しいパスワード要件を「2」で適用する、などの使い方ができます。

1. すべてのドメインユーザーに適用する場合(ドメインのグループポリシー)

Windows 2000からサポートされている機能で、Active Directoryのグループポリシー機能を使用します。 管理ツール[グループポリシーの管理]を使って、ドメイン全体に適用されるグループポリシーとして、アカウントポリシーを設定します。この方法だけでは、Active Directoryドメインに登録されたすべてのユーザーに対して同じアカウントポリシーが適用されるため、役職や担当業務によってパスワード要件を変えたい、という要望には対応できません。以下に、設定方法を紹介します。

【1】ドメインコントローラーでAdministratorとしてサインインし、管理ツール[サーバーマネージャー]を起動します。
【2】[ツール]-[グループポリシーの管理]を選択し、グループポリシーの管理を起動します。

【3】デフォルトでは、「Default Domain Policy」というグループポリシーがドメインに関連付けられています。本文書ではデフォルト値の確認も兼ねてこれを編集します。

「Default Domain Policy」を編集すると、デフォルト値と現在の設定の差分がわからなくなります。
このため、「Default Domain Policy」は編集せずに、新規にグループポリシーを作成してアカウントポリシーを設定することもできます。この場合は、以下の図のドメイン名部分(edifist.co.jp)を右クリックし、[このドメインに GPO を作成し、このコンテナーにリンクする]を選択します。
【4】編集対象のグループポリシーを右クリックし、[編集]を選択します。

【5】[グループポリシー管理エディター]が起動し、グループポリシーが編集可能な状態になります。
[コンピュータの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[アカウントポリシー]の順に展開します。

【6】必要な設定を行ったら、ウインドウの右上にある閉じるボタンをクリックし、グループポリシー管理エディターを閉じます。保存は自動的に行われるため、保存のためのメニュー操作を行う必要はありません。

アカウントポリシーで、ユーザーのパスワードの関わる設定項目は次の通りです。

※ 次の画面見本は、 Windows Server 2012 Active Directory の Default Domain Policy のデフォルト値が表示されています。

<パスワードのポリシー>
項目 説明
パスワードの長さ 最短パスワード長を指定します。
パスワードの変更禁止期間 パスワードを変更したときに、次にパスワード変更ができるようになるまでの期間です。この値を0にすると、仮に[パスワードの履歴を記録する]で過去に利用したパスワードを10個まで記憶しておき、同じパスワードを10回変更するまで再利用できないように設定しても、その場で10回以上パスワードを変更して履歴をクリアし、最終的に前日まで使用していたパスワードを設定しなおすことで常に同じパスワードを使用することをユーザーに許してしまいます。このため、[パスワードの履歴を記録する]を有効にした場合はこのオプションも0以外の値を設定しましょう。
パスワードの有効期間 パスワードを利用できる期間です。この期間を過ぎるとパスワード変更が必要になるため、ユーザーにパスワード変更を強制できます。
パスワードの履歴を記録する 過去にユーザーが使用したパスワードの履歴を覚えておき、同じパスワードを使えないようにするため機能です。この設定をオフにすると、パスワードを定期的に変更するようにユーザーに強制しても、同じパスワードを再設定し続けることがきるようになるためセキュリティレベルが下がります。
暗号化を元に戻せる状態で
パスワードを保存する		 リモートアクセスなどでCHAP認証を使用する場合に選択します。
通常はこのオプションを選択する必要はありません。
複雑さの要件を満たす必要が
あるパスワード		 パスワード変更時に、以下の要件を満たすパスワード以外は受け付けなくなります。
  • ユーザー名やフルネームに含まれる3文字以上連続した文字列は使用しない。
  • 大文字、小文字、数字、記号のうち3種類以上を使用する
  • 長さは6文字以上にする
ただし、6文字以上の長さという要件については、以下の報告があります。
文書番号:2617632「“複雑さの要件を満たす必要がある”を有効にしてもパスワードの長さを6文字以上にする必要が無い」
<アカウントロックアウトのポリシー>
項目 説明
アカウントのロックアウトのしきい値 パスワードを間違えたために、ログオンに失敗した回数の上限値を指定します。次の[ロックアウトカウンターのリセット]で指定された時間内に、このオプションで設定した回数に達すると、アカウントがロックアウトされ利用できなくなります。
ロックアウトカウンターのリセット 上の[アカウントのロックアウトのしきい値]をカウントする時間です。
このオプションで指定された時間が経過すると、ログオン試行回数のカウントがリセットされます。
ロックアウト期間 アカウントがロックアウトされた場合のロックアウト期間です。

< 前へ | Active Directory ドメインユーザーのアカウントポリシー(1/3) | 次へ >

「ネットワーク構築のためのヒントと技術解説」一覧へ
ActiveDirectoryについて、さらに詳しく学びたい方はこちら
ネットワーク技術のトレーニングを見る

解説トレーナー

Cisco / ネットワーク 担当 山口 希美

Page Top