none
ドメインパスワードとnet userコマンド RRS feed

  • 質問

  • どうぞ、よろしくお願いします。

    Windows Server 2003でドメインコントローラを運用しており、セキュリティポリシーでパスワードを定期的に変更するようにしています。パスワードの有効期限3週間前にはユーザーの画面に警告がでるはずなのですが、気づかなかったり、後回しにしているうちに期限を過ぎてしまうユーザーがいるため、net userコマンドを使用して期限を調べ該当ユーザに連絡することにしました。

    アカウント数は約50なのですが、手打ちで作業するのは大変なので、全ユーザー分のnet user **** /domain のコマンド結果をcsvファイルに吐き出すバッチファイルを作成し、Excelのマクロからそのバッチファイルを実行、csvファイルを読み込んで、必要な情報のみ残すようにしました。

    なんどか、マクロのデバッグをしているうちに、本来各ユーザの有効期限はバラバラであったものが、全て同じ日付(設定された有効期限後)になっていることに気付きました。

    バッチファイルではドメインのアカウントの情報を取得しているだけのつもりが、パスワードのリセットがかかってしまったようでした。試しに数名のユーザで一旦ログオフしてもらうと、これまで使用していたパスワードではログオンできなくなっていました。意図的に何らかのパスワードを設定したわけではないので、パスワードなしになっているかも?と試しましたが、そうでもありませんでした。

    とりあえず、対処としては、初期パスワードを全アカウントで設定し、各自ログオン時に再設定してもらうようしたのですが、今回の不具合がまったく原因不明です。

    同様の不具合を体験された方、原因や対処方法をご存じの方が見えましたら教えていただけないでしょうか。

    また、パスワードのリセットとは別問題なのですが、同じタイミングである1つのアカウントだけ、初期パスワード設定後ユーザ自身がパスワードを変更しようとすると、パスワードポリシーの要件を満たしているにも関わらず、「パスワードの変更を完了できません。理由:パスワードはパスワードポリシーの要件を満たしていません。パスワードの最短の長さ、パスワードの複雑性、およびパスワード履歴の要件を確認して下さい。」とメッセージが表示されパスワードの変更ができなくなりました。サーバ上で行っても、net userコマンドでパスワードを指定しても同じ結果でした。一時的にパスワードポリシーの制限を解除しても同様でした。個別のアカウントのみ特別なパスワードポリシーを設定することはできないと思うのですが、もし可能であればどのように設定するのか教えていただけないでしょうか?

    以上、よろしくお願いします。

    2011年1月7日 7:18

回答

すべての返信

  • こんにちは、フォーラムオペレーターの三沢健二です。

    実際に行われた処理の内容が分からないので何とも言えないのですが、誤って "net user アカウント名 パスワード (/domain)" でパスワードを変更されたのではないでしょうか?
    (権限があれば簡単に変更出来ますので・・・)

    - 参考情報
    net userコマンドの使い方
    http://www.atmarkit.co.jp/fwin2k/win2ktips/786netuser/netuser.html


    イベントログのセキュリティを見ると何か情報が残っている可能性もあります。
    ちょっと私の環境(DC:Windows Server 2003)で試してみましたが、net user コマンドでパスワードを変更すると、イベント ID:628 が残されていました。

    - 参考情報
    アカウント管理の監査
    http://technet.microsoft.com/ja-jp/library/cc737542(WS.10).aspx

    セキュリティ診断・ドメイン アカウント管理
    http://eventlog.whitefox.jp/?eid=11


    補足:
    net user 以外でのパスワードの有効期限の確認方法
    http://blogs.technet.com/b/jpilmblg/archive/2009/04/24/adsi-ldap-passwordexpirationdate-0x800500d.aspx


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク 服部清次 2011年1月18日 4:15
    2011年1月11日 4:55
    モデレータ
  • Anonymous2692 さん、

    こんにちは。
    フォーラム オペレーターの服部清次です。

    Anonymous2692 さんがこちらの質問を投稿されてから少し経ちましたが、
    弊社の三沢健二が紹介しましたリンク情報はご確認いただけましたでしょうか?

    Anonymous2692 さんの現在の状況が気になるところなのですが、、、
    今回、弊社の三沢の回答が参考になるのではないかと思いましたので、
    勝手ながら、私の方でひとまず [回答としてマーク] させていただきました。

    また何か疑問や質問などがありましたら、お気軽に TechNet フォーラムをご利用ください。
    これからもよろしくお願いします。
    それでは、また。


    __________________________________________________
    マイクロソフト株式会社 フォーラム オペレーター 服部 清次

    2011年1月18日 4:17