none
パスワードポリシー適用後、有効期限前にもかかわらず有効期限切れメッセージが出てしまう。 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    Windows server 2003 R2にてADを構築しています。

    従前はユーザーによるパスワード変更を許可していませんでしたが、今回、パスワードポリシー(パスワードの有効期限186日)を設定し、「ユーザーはPWを変更できない」と「パスワードを無期限にする」のチェックをOFFにし、ポリシーを適用しました。

    この後の動作イメージとしては、上記設定をOFFした日から起算して186日間は、現在のPWが有効なものとして利用でき、かつ期限切れ2週間から有効期限のカウントダウン表示が開始されるというものなのですが、実際は即日、期限切れのメッセージが表示されてしまいます。(期限切れメッセージなのでキャンセルで抜けることもできません)

    上記の動作イメージで運用するためには、どういった設定をすればよろしいのでしょうか?

    よろしくお願いいたします。

    2009年11月9日 5:36
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票
    >ムラミッチさん
    多分行われた設定変更でパスワード変更必要になる起点は 本当のパスワード変更日なのだと思います。
    具体的には ADSIEdit.msc 等で確認できる ユーザアカウントに付随するpwdLastSetプロパティ値。
    これから起算して186日経過している場合に パスワード変更必要と促されるのではないでしょうか?

    で、肝心のpwdLastSetプロパティ値ですが、再設定する方法がわかりません、、、
    ※ 今パスワード変更をすると今日を示す値に書き変わりはします。
    ※ 次回ログオン時にパスワード変更必要 と設定すると とりあえず 0 にはなります。(きっと)

    で、どこかでこのプロパティに設定する値を日付から算出する方法と、各ユーザのこの情報を書き換える方法が分かれば、
    強制的に「2009/11/09にパスワード変更されたことにしてしまう」という事が出来得るのではないかと思われます。
    そうすれば、2009/11/09から186日後にパスワード変更必要のウィンドウが開くことでしょう。

    ぶっちゃけ 定期的にパスワード変更を強要することになるので、しょっぱなを強制するのも一緒じゃん!? と開き直ってみて、
    「2009/12/01 にログオン時パスワード変更が必要で、以後186日置きにパスワード変更が強制されます。」的なアナウンスを流し、
    11月の業務終了後、すべてのユーザに「次回ログオン時パスワード変更必要」を適用し、
    12月に入ってから ゆっくりポリシーを再適用 というのがスムーズかもしれませんね。

    ※ 強制パスワード変更は時々 あらぬ不具合を引き起こしますので、予め皆にパスワード変更をトライしてみて貰うと良いと思います。
    アプリケーションによってインストール時の資格情報しか握ってなくて 変更しないと動かなくなったりしたりとかすることがままあります。
    まぁ、自分はパスワード強制変更ポリシーでざっくりえらい目にあった口です。
    セキュリティポリシーとしては必要なんでしょうけどね、、、業務に利用するアプリが付いてこれないと困るのです。
    2009年11月9日 6:24
    |
  • Question
    サインインして投票
    1
    サインインして投票
    チャブーンです。

    SHIMSOFT さんのおっしゃるとおり、パスワードの有効期限は"ポリシーを変更した日から起算"はされていません。具体的には、この資料のような計算により算出されているのです。

    ちなみに、pwdLastSet 属性に「好きな値を設定」することはできません(システム上の制約です)。例外的に"0"だけ設定することができます。これは、"次回ログオン時にパスワードを変更する"設定と同じになります。
    2009年11月9日 9:38
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票
    >ムラミッチさん
    多分行われた設定変更でパスワード変更必要になる起点は 本当のパスワード変更日なのだと思います。
    具体的には ADSIEdit.msc 等で確認できる ユーザアカウントに付随するpwdLastSetプロパティ値。
    これから起算して186日経過している場合に パスワード変更必要と促されるのではないでしょうか?

    で、肝心のpwdLastSetプロパティ値ですが、再設定する方法がわかりません、、、
    ※ 今パスワード変更をすると今日を示す値に書き変わりはします。
    ※ 次回ログオン時にパスワード変更必要 と設定すると とりあえず 0 にはなります。(きっと)

    で、どこかでこのプロパティに設定する値を日付から算出する方法と、各ユーザのこの情報を書き換える方法が分かれば、
    強制的に「2009/11/09にパスワード変更されたことにしてしまう」という事が出来得るのではないかと思われます。
    そうすれば、2009/11/09から186日後にパスワード変更必要のウィンドウが開くことでしょう。

    ぶっちゃけ 定期的にパスワード変更を強要することになるので、しょっぱなを強制するのも一緒じゃん!? と開き直ってみて、
    「2009/12/01 にログオン時パスワード変更が必要で、以後186日置きにパスワード変更が強制されます。」的なアナウンスを流し、
    11月の業務終了後、すべてのユーザに「次回ログオン時パスワード変更必要」を適用し、
    12月に入ってから ゆっくりポリシーを再適用 というのがスムーズかもしれませんね。

    ※ 強制パスワード変更は時々 あらぬ不具合を引き起こしますので、予め皆にパスワード変更をトライしてみて貰うと良いと思います。
    アプリケーションによってインストール時の資格情報しか握ってなくて 変更しないと動かなくなったりしたりとかすることがままあります。
    まぁ、自分はパスワード強制変更ポリシーでざっくりえらい目にあった口です。
    セキュリティポリシーとしては必要なんでしょうけどね、、、業務に利用するアプリが付いてこれないと困るのです。
    2009年11月9日 6:24
    |
  • Question
    サインインして投票
    0
    サインインして投票

    SHIMSOFT様

    大変分かりやすい解説、ありがとうございます。

    そうですね。開き直って初回時からパスワード変更を実施してもらうっていうのが、一番よい流れかもしれませんね。

    またその他の業務アプリで、確かにAD認証を利用しているものもいくつかあり、該当ユーザーには事前にアナウンスが必須となりますね。

    大変貴重なアドバイス、本当にありがとうございました。

    2009年11月9日 9:21
    |
  • Question
    サインインして投票
    1
    サインインして投票
    チャブーンです。

    SHIMSOFT さんのおっしゃるとおり、パスワードの有効期限は"ポリシーを変更した日から起算"はされていません。具体的には、この資料のような計算により算出されているのです。

    ちなみに、pwdLastSet 属性に「好きな値を設定」することはできません(システム上の制約です)。例外的に"0"だけ設定することができます。これは、"次回ログオン時にパスワードを変更する"設定と同じになります。
    2009年11月9日 9:38
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    チャブーン様

    ご回答ありがとうございます。

    なるほど、どちらにしてもpwdLastSet は0にしか設定できないのですね。

    と、いうことはどちらにしても初回時からパスワード変更を必須とするしかなく、やはり開きなおってそうアナウンスしようと思います。

    的確なアドバイスありがとうございました。

    2009年11月10日 0:26
    |
  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは、フォーラムオペレーターの三沢健二です。

    SHIMSOFT さん、チャブーン さん、回答・アドバイスありがとうございました。

    それでは、お二人に案内いただいた内容が参考になられたようですので、私の方で [回答としてマーク] を付けさせていただきました。

    なお、全てのアカウントのパスワード更新日を合わせたい場合には、全てのアカウントに対して "次回ログオン時にパスワードを変更する" を一度有効にして、すぐに解除するとよいかもしれません。
    ("pwdLastSet" がその変更を行った日時に設定されるはずです)


    これからも皆様の情報交換の場として、ぜひ TechNet フォーラムをご利用ください。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2009年11月17日 1:43
    |
    モデレータ