none
パスワードポリシーの設定について RRS feed

  • 質問

  • 環境
    ドメインコントローラ: WindowsServer2008R
    IISサーバ: WindowsServer2008R2, IIS7.0, .NETFrameWork4.0


    現在、ActiveDirectoryのユーザーパスワードをWeb上から変更するためのページを作成しており、
    ドメインコントローラとは別にIISが稼働するサーバを立ててそこからASP.NETページを通じてパスワード変更をさせようと考えています。


    実験環境でパスワードの変更に成功したため、本番環境に持ち込んだところ変更できませんでした。
    強固なパスワードを試したところパスワード変更に成功したのでパスワードポリシーが原因かと判断しました。

    しかし、ドメインコントローラの管理者に聞いたところ、パスワードポリシーは緩めているとのことで、
    別の方法での変更ですと同一のアカウントでも"1234"などの脆弱なパスワードで変更できました。


    パスワードの変更方法によってポリシーが変わる原因がわかりますでしょうか。

    • 編集済み K_Yos 2012年12月28日 11:14
    2012年12月28日 10:31

回答

  • チャブーンです。

    まず、パスワードの変更方法によって「パスワードポリシー」の条件が変わる、といったことは普通ありえません。なので、それ以外の可能性をつぶしていくことになります。

    ・本当に同一のアカウントだったかどうか
    ドメインアカウントにはドメインのパスワードポリシーが適用されますが、ローカルコンピューターのアカウント(ローカルアカウント)では、ドメインのパスワードポリシーが適用されるケースとされないケースがあります。ドメイン参加していれば原則適用されますが、自身のコンピューターアカウントのOUに「パスワードポリシー」が上書き適用されている場合、ローカルアカウントはそのパスワードポリシーに従います。gpresultやRSoPで適用ポリシーを確認するとか、そもそもローカルアカウントを使っていないかどうか、再確認したほうがいいように思います。

    ・アカウントの参照先がおかしい
    同じドメイン名の「別のドメインコントローラー」を参照先にしてしまっていれば、当然そのドメインのポリシーが対象になります(アカウントがそもそも違うわけですが)。可能性は少ないとは思いますが、一応書いておきます。

    ・DCの設定がおかしい
    複数のドメインコントローラがある本番環境で、(緩めた)アカウントポリシーが正常に適用できないDCがある場合、そのDCにパスワード変更要求がいった場合に(デフォルトの)強固なパスワード設定でのチェックが行われている可能性があります。SYSVOL共有がきちんと複製され、Default Domain Policyが完全に全台に適用されているか確認したほうがいいかもしれません。

    • 回答としてマーク K_Yos 2013年1月7日 10:43
    2013年1月6日 20:50
    モデレータ

すべての返信

  • チャブーンです。

    まず、パスワードの変更方法によって「パスワードポリシー」の条件が変わる、といったことは普通ありえません。なので、それ以外の可能性をつぶしていくことになります。

    ・本当に同一のアカウントだったかどうか
    ドメインアカウントにはドメインのパスワードポリシーが適用されますが、ローカルコンピューターのアカウント(ローカルアカウント)では、ドメインのパスワードポリシーが適用されるケースとされないケースがあります。ドメイン参加していれば原則適用されますが、自身のコンピューターアカウントのOUに「パスワードポリシー」が上書き適用されている場合、ローカルアカウントはそのパスワードポリシーに従います。gpresultやRSoPで適用ポリシーを確認するとか、そもそもローカルアカウントを使っていないかどうか、再確認したほうがいいように思います。

    ・アカウントの参照先がおかしい
    同じドメイン名の「別のドメインコントローラー」を参照先にしてしまっていれば、当然そのドメインのポリシーが対象になります(アカウントがそもそも違うわけですが)。可能性は少ないとは思いますが、一応書いておきます。

    ・DCの設定がおかしい
    複数のドメインコントローラがある本番環境で、(緩めた)アカウントポリシーが正常に適用できないDCがある場合、そのDCにパスワード変更要求がいった場合に(デフォルトの)強固なパスワード設定でのチェックが行われている可能性があります。SYSVOL共有がきちんと複製され、Default Domain Policyが完全に全台に適用されているか確認したほうがいいかもしれません。

    • 回答としてマーク K_Yos 2013年1月7日 10:43
    2013年1月6日 20:50
    モデレータ
  • チャブーン様

    回答ありがとうございます。

    ご提示頂いた3件について確認しました。

    ・本当に同一のアカウントだったかどうか
      gpresult及びrsopで確認したところ、間違いなくドメインアカウントで、ドメインポリシーが適用されており、
      パスワードポリシーは管理者の言う緩められたものでした。

    ・アカウントの参照先がおかしい
      同じ名前の別ドメインは存在しませんし、ASP.NET変更ページで変えた(強固な)パスワードでアカウントにログインできることから、
      これに関しては問題ないと思います。

    ・DCの設定がおかしい
      これに関しては私はドメインの管理権限がないため、管理者に聞いてみることにします。
    2013年1月7日 2:36