none
パスワードポリシーについて RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    2003サーバのパスワードポリシーについてですが、MCPの模擬問題で

    DefaultDomainControllerのGPOに設定していました。

    パスワードポリシーはドメイン内でひとつだけ有効というだけで、ドメイン以外にも適用できるのではないでしょうか?

    まだ自分自身では検証していないのですが。

    またアカウントロックポリシーですが、これもMCPの模擬問題でOUにリンクさせている例がありました。

    これもドメイン以外にリンクさせても有効なのではないでしょうか?

    時間があるときに自宅で検証しようと思ってはいるのですが。

     

    2011年4月7日 0:52
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    >パスワードポリシーはドメインにリンクしているもののみが有効で、ロックアウトポリシーはドメイン以外にもOUとかにも設定できるという認識であっているでしょうか?

    私の日本語力に問題がありそうですが、半分あっていて半分間違っていて、すこし根本的に間違っていそうに思えます。

    ドメインアカウントに対するアカウントポリシーは同一ドメイン全体で同じです。例外的にPSOがあります。
    パスワードもロックアウトポリシーも「アカウントポリシー」の括りなので「ドメインユーザー」は「ドメイン」の設定に縛られます。

    各OUで上書き設定できる「アカウントポリシー」の項目は、OUに存在するコンピューターのローカルリソースです。各コンピューターにログインするドメインユーザーが縛られる「アカウントポリシー」はドメインに適用されたものなので、OUに設定されたアカウントポリシーは関係ありません。ドメインユーザーのパスワードなどのアカウント情報はドメインで管理されるため、当然と言えます。
    逆に、ドメイン内に特別高いセキュリティを要求するコンピューターが存在し、それらはドメインユーザーで使わせるのではなく、ローカルユーザーで運用したい場合とか、各コンピューターがOS上のサービスを起動するために使用するコンピューターのローカルユーザーに対して、アカウントルールの縛りをかけたい場合にOUに対してGPOを設定することがあります。

    「アカウント ポリシーとローカル ポリシー」
    http://technet.microsoft.com/ja-jp/library/cc736685(WS.10).as
    (私の日本語力では上記の文章は全く理解できませんが、同じようなことが書いてあります。要は、ドメインアカウントに適用されるアカウントポリシーはドメインにリンクされた既定のドメインポリシーより優先順位の高いGPOを作ってくださいと言っているように読めます。(というか、そう言う動作をします、実験してみてください、おもしろいですよ^^))

    • 回答としてマーク nodame2010 2011年4月12日 6:00
    2011年4月8日 2:04
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    >またアカウントロックポリシーですが、これもMCPの模擬問題でOUにリンクさせている例がありました

    そのOUに属するマシンのローカルユーザーに適用されるのであって、ドメインのユーザーとは関係ありません。

    >パスワードポリシーはドメイン内でひとつだけ有効というだけで、ドメイン以外にも適用できるのではないでしょうか?

    ご質問内容を理解できないままの回答となってしまうのですが、ドメインが管理するドメインユーザーは、ドメインポリシーで有効になっている値が適用されます。
    どうしても変更したければ、ドメインレベルをServer 2008に上げて、PSOを作ってください。
    また、グループポリシーであるため、ドメインに所属するコンピューターのローカルユーザーにも他のGPOで上書きされていなければ適用されます。

    「Windows Server 2008 のきめ細かなパスワードポリシー - これだけは知っておきたい,Windows Server 2008:ITpro」
    http://itpro.nikkeibp.co.jp/article/COLUMN/20080118/291378/

     

     

     

    2011年4月7日 5:32
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ありがとうございます。

    パスワードポリシーやアカウントロックアウトポリシーはドメインにリンクされているGPOのもののみが有効で、1つだけしかもてないと理解していました。

    (OUやデフォルトのDCのコンテナなどにGPOをリンクさせても効果がないと理解していました。)

     

    ですが、MCPの模擬問題をといていてDefaultDomainControllerのGPOにパスワードポリシーを設定していることがありました。またアカウントロックアウトポリシーをOUにリンクさせている模擬問題もありました。

    ですのでドメイン以外にリンクしたものでも有効なのかな?と疑問に思いました。

     

    PSOについてはしっていますが、MCPの学習をしているだけで、とくに実務で困っているわけではないので大丈夫です。^^

    ありがとうございます。

     


    2011年4月7日 5:42
    |
  • Question
    サインインして投票
    1
    サインインして投票

    >パスワードポリシーやアカウントロックアウトポリシーはドメインにリンクされているGPOのもののみが有効で、1つだけしかもてないと理解していました
    各項目のことですか? ドメインにパスワード用のGPO用意して、そちらにアカウントポリシーの項目を設定するというのはよくやります(というか、Deaoult Domain Policyは触りたくない^^;)
    後から適用(=優先順位が高い)ポリシーが未定義ならその設定は変更されません。ですので、パスワードの項目以外は変更されません。

    RSoP見ていただければわかりますがDefaultDomainControllerのOUではなく、ドメインのGPOが有効になっているはずです。

    この辺りはGPMC使えばどのポリシーが有効か一発でわかるので試してみられることをお勧めします。
    #ドメインに複数のGPOをリンクさせた場合、RSoPに結果が反映されて出てくるまで時間がかかることがあります。

    >ですが、MCPの模擬問題をといていてDefaultDomainControllerのGPOにパスワードポリシーを設定していることがありました。

    単なるミスのような気も^^; 

    またアカウントロックアウトポリシーをOUにリンクさせている模擬問題もありました。

    これは、先ほどの回答の通り、ドメインのユーザーではなく、そのOUに所属するコンピューターのローカルユーザーの設定を絞るために実施することがあります。

    2011年4月7日 8:23
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ありがとうございます。^^

    パスワードポリシーはドメインにリンクしているもののみが有効で、

    ロックアウトポリシーはドメイン以外にもOUとかにも設定できるという認識であっているでしょうか?

    2011年4月8日 0:38
    |
  • Question
    サインインして投票
    1
    サインインして投票

    >パスワードポリシーはドメインにリンクしているもののみが有効で、ロックアウトポリシーはドメイン以外にもOUとかにも設定できるという認識であっているでしょうか?

    私の日本語力に問題がありそうですが、半分あっていて半分間違っていて、すこし根本的に間違っていそうに思えます。

    ドメインアカウントに対するアカウントポリシーは同一ドメイン全体で同じです。例外的にPSOがあります。
    パスワードもロックアウトポリシーも「アカウントポリシー」の括りなので「ドメインユーザー」は「ドメイン」の設定に縛られます。

    各OUで上書き設定できる「アカウントポリシー」の項目は、OUに存在するコンピューターのローカルリソースです。各コンピューターにログインするドメインユーザーが縛られる「アカウントポリシー」はドメインに適用されたものなので、OUに設定されたアカウントポリシーは関係ありません。ドメインユーザーのパスワードなどのアカウント情報はドメインで管理されるため、当然と言えます。
    逆に、ドメイン内に特別高いセキュリティを要求するコンピューターが存在し、それらはドメインユーザーで使わせるのではなく、ローカルユーザーで運用したい場合とか、各コンピューターがOS上のサービスを起動するために使用するコンピューターのローカルユーザーに対して、アカウントルールの縛りをかけたい場合にOUに対してGPOを設定することがあります。

    「アカウント ポリシーとローカル ポリシー」
    http://technet.microsoft.com/ja-jp/library/cc736685(WS.10).as
    (私の日本語力では上記の文章は全く理解できませんが、同じようなことが書いてあります。要は、ドメインアカウントに適用されるアカウントポリシーはドメインにリンクされた既定のドメインポリシーより優先順位の高いGPOを作ってくださいと言っているように読めます。(というか、そう言う動作をします、実験してみてください、おもしろいですよ^^))

    • 回答としてマーク nodame2010 2011年4月12日 6:00
    2011年4月8日 2:04
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    ありがとうございました。^^
    2011年4月12日 6:00
    |