none
Active Directryで管理してるユーザーPWについて RRS feed

  • 質問

  • いつもディスカッションして頂きありがとうございます。

    使用環境

    Windows Server2012R2 / Active Directry

    管理端末はWin7or10 / MacOS10.9or10.12です。

    質問

    Windowsでは一ヶ月に一度、ユーザーが決めたPWに対して変更のアラートが出ます。

    しかし、Macでは上記アラートが出る人と出ない人がいます。

    Active Directryでは、ユーザーのプロパティ設定の間違いが無いように"User"をコピーして新しいユーザーを作ります。

    プロパティ→アカウント内のアカウントオプションのチェックは全て外れてます。

    アカウント期限のチェックは ”なし” にチェックが入ってます。

    他の記事を読むと、ここのアカウント説明の "有効期限にチェックを入れる” と書いてありますが、

    このいチェックが "なし" になっていてもWindows機はPW変更のアラートが出ます。



    • 編集済み syunsk 2018年6月12日 8:41
    2018年6月12日 4:55

回答

  • チャブーンです。

    この件ですが、パスワードの期限に関するアラートを表示させるのは、クライアント側の仕様によるものです。これは必要なプログラムがWindowsクライアント側にないと意味がないので、Macではこれに相当する機能があるバージョンとないバージョンがあるのかもしれません。

    この設定は、Windows 10では標準では5日間の設定のようですが、グループポリシー「対話型ログオン:パスワードが無効になる前にユーザーに変更を促す」で変更することができます。クライアント側ではこのポリシーを設定していない場合、標準のタイミングでアラートが表示されます。ただし、古いOSバージョンのWindowsでは14日間だったはずなので、これもバージョンを確認する必要があるでしょう。

    パスワードの期限に関するアラートを試験したい場合、FGGP(きめ細やかなパスワードポリシー)を使うと便利かもしれません。デフォルトのドメインパスワードポリシーとは別に、特定のユーザーやグループに対して、パスワード有効期間を別建てで設定できます。FGPPでポリシーを設定し、テストアカウントを用意すれば、動作の確認は簡単にできるかと思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2018年6月13日 16:11
    モデレータ

すべての返信

  • 一ヶ月に一度,パスワード変更要求がでるように制御しているところはグループ・ポリシーではないでしょうか。

    MACは管理したことがないのでわかりませんが,MACのでない人とでる人で,MACバージョンやドメイン参加の状況なども確認すると良いかもしれません。

    Windows端末でも,グループポリシー定義が反映されないとの問い合わせによくよく確認したら,ローカルユーザをドメインユーザ名と同じユーザ名で作成していたために間違った動作になっていたこともあります。

    参考までに。

    2018年6月13日 6:08
  • JJJ-Ranさん

    わざわざありがとうございます。

    ドメイン参加のご指摘通り、動きのおかしい端末は、ドメイン離脱→参加を実施しました。

    この方法は一番最初に実施するようにしたいと思います。

    他にもWindowsマシンでポリシーが反映しない例はございますか??

    Macの場合、Active Directryから"ユーザーは次回ログオン時にパスワード変更が必要"や

    "パスワードのリセット"は即ポリシーが反映して確認も容易なのですが、

    PWの変更アラートは最低でも1ヶ月近く待たないと確認が出来ないので、困っているところです。

    2018年6月13日 8:19
  • チャブーンです。

    この件ですが、パスワードの期限に関するアラートを表示させるのは、クライアント側の仕様によるものです。これは必要なプログラムがWindowsクライアント側にないと意味がないので、Macではこれに相当する機能があるバージョンとないバージョンがあるのかもしれません。

    この設定は、Windows 10では標準では5日間の設定のようですが、グループポリシー「対話型ログオン:パスワードが無効になる前にユーザーに変更を促す」で変更することができます。クライアント側ではこのポリシーを設定していない場合、標準のタイミングでアラートが表示されます。ただし、古いOSバージョンのWindowsでは14日間だったはずなので、これもバージョンを確認する必要があるでしょう。

    パスワードの期限に関するアラートを試験したい場合、FGGP(きめ細やかなパスワードポリシー)を使うと便利かもしれません。デフォルトのドメインパスワードポリシーとは別に、特定のユーザーやグループに対して、パスワード有効期間を別建てで設定できます。FGPPでポリシーを設定し、テストアカウントを用意すれば、動作の確認は簡単にできるかと思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2018年6月13日 16:11
    モデレータ