none
Win2008 ADパスワードポリシーの有効期限 適用タイミングについて RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票
    シングルフォレスト,シングルドメイン DC3台のドメイン環境です。

    Win2008のAD新機能であるパスワードポリシーを使用するため、DCであるサーバOSを、Windows2003→Windows2008にリプレイスし、
    フォレスト&ドメイン機能レベルをWindows Server 2008に昇格しました。

    現行のユーザに適用されている、Default Domain Policyは、以下の通りです。

    ①パスワード有効期限:なし
    ②パスワードの文字数制限:なし
    ※パスワードの複雑さ:設定なし

    ここに、以下のPSOを設定し、グループに適用しました。

    ①パスワード有効期限:90日
    ②パスワードの文字数制限:6文字
    ※パスワードの複雑さ:設定なし

    各グループに所属しているユーザへのPSOの適用タイミングはどのタイミングとなりますか?
    私は以下のように認識していますが正しいでしょうか?

    ①パスワードの有効期限は、PSOのグループ適用日が1日目と認識される。
     そのため、現在のパスワードをたとえ90日以上使用していたとしてもPSO適用日より90日目に初めてパスワード変更がうながされる。
     
    ②パスワードの文字数は次回変更時に制限がかかる。そのため、現在6文字を満たしていなくても問題はなく使い続けることが出来る。


    #グループに所属しているユーザの「パスワード無期限」設定は行っていません。


    ご回答どうぞよろしくお願い致します。








    2009年10月6日 2:54
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票
    パスワードポリシーは、パスワードの変更時と新しいパスワードの作成時に強制されますので、既存のユーザーにはなんら変更はなくそのまま最小文字数未満のパスワードも使い続けることが可能です。

    ただ、有効期限についてはそのユーザーの「最終パスワード変更日時」から計算しているだけのようなので、今回の場合は一斉にパスワードが切れてしまうのではないでしょうか(簡単にテストしてみたらそんな感じでしたが、こちらはちょっと自身がありません)。
    ※「最終パスワード変更日時」は、コマンドプロンプトで、net user [ユーザー名] と入力してみると分かります。
    • 回答としてマーク Miiiii 2009年10月6日 6:38
    2009年10月6日 3:54
    |

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票
    パスワードポリシーは、パスワードの変更時と新しいパスワードの作成時に強制されますので、既存のユーザーにはなんら変更はなくそのまま最小文字数未満のパスワードも使い続けることが可能です。

    ただ、有効期限についてはそのユーザーの「最終パスワード変更日時」から計算しているだけのようなので、今回の場合は一斉にパスワードが切れてしまうのではないでしょうか(簡単にテストしてみたらそんな感じでしたが、こちらはちょっと自身がありません)。
    ※「最終パスワード変更日時」は、コマンドプロンプトで、net user [ユーザー名] と入力してみると分かります。
    • 回答としてマーク Miiiii 2009年10月6日 6:38
    2009年10月6日 3:54
    |
  • Question
    サインインして投票
    0
    サインインして投票

    OMEGATさん、早速のご回答ありがとうございます。

    ①は、ユーザオブジェクトの「最終パスワード変更日時」を元に見るので、
    基本的に90日間、変更をしていないユーザは一斉にパスワードが切れるということ認識しました。
     #net user [ユーザー名]で確認できました!

    ②は、想定どおりということですね。

    とても助かりました。ありがとうございました。

    2009年10月6日 6:37
    |