none
パスワード有効期間ポリシーがドメインユーザー側に正しく反映されていない(見た目上は反映されているが...) RRS feed

  • 質問

  • 初めて質問させて頂きます。よろしくお願いいたします。
    中規模企業で社内情報システムを担当しております。

    先日、ADサーバのパスワードポリシーを変更しました。
    具体的には、パスワードの有効期限をデフォルトの42日から90日に変更しました。
    変更したのはサーバの「Default Domain Policy」です。

    しかし、正しく反映されていないのか、ポリシー変更後も有効期限が以前の42日のままとなっています。
    ※パスワード変更から42日超過すると有効期限切れ扱いになってしまいます。

    大変不可解なのは、NETコマンドで現在の状況を確認すると、
    有効期限が90日となっていてきちんと反映されているように見える点です。
    ●net accounts /domain
     ⇒ 有効期間が90日と表示される
    ●net user ユーザ名 /domain
     ⇒ パスワード有効期間が、最終パスワード変更日時の90日後に設定されている

    当方を含め、このADサーバと連携している全てのドメインユーザーが同じ状況だと思われます。
    こちら、何が原因かお分かりの方、いらっしゃいますでしょうか?
    また、他に確認すべき事項等ありましたらご教示頂ければ幸いです。

    ◆社内環境
    ADサーバ:Windows Server 2012 R2
    クライアント用PC:Windows 10 Pro

    どうぞ宜しくお願い申し上げます。
    2020年5月12日 3:56

回答

  • チャブーンです。

    この件ですが、Default Domai Policyの変更事項が「各クライアントに」反映していないと思います。クライアント上でgpresult /hで適用状況を確認してください。

    net accounts /domainはこの文脈では意味がないです。「ドメインコントローラ上の」アカウントポリシーを見に行っているだけだからです。必要なのは「クライアント上の」アカウントポリシーなので、引数なしのnet accountsで実施してください。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2020年5月12日 4:07
    モデレータ
  • チャブーンさんが記載されている通りかと思います。
    AD自体はユーザー情報としてパスワードの有効期限を保持しておらず、パスワードが最後に変更された日時だけを記憶しています。そのため、クライアント端末に適用されたポリシーによって最後に変更された日付から有効期限がいつか割り出して表示しているだけなので、ポリシーが適用されている端末とポリシーが適用されていない端末からとでは表示される情報が変わってくると思います。
    • 回答としてマーク G_IT_Admin 2020年5月12日 6:44
    2020年5月12日 6:19
  • PSOが設定されている場合はPSOが優先されることになります。
    • 回答としてマーク G_IT_Admin 2020年5月12日 7:46
    2020年5月12日 7:37

すべての返信

  • チャブーンです。

    この件ですが、Default Domai Policyの変更事項が「各クライアントに」反映していないと思います。クライアント上でgpresult /hで適用状況を確認してください。

    net accounts /domainはこの文脈では意味がないです。「ドメインコントローラ上の」アカウントポリシーを見に行っているだけだからです。必要なのは「クライアント上の」アカウントポリシーなので、引数なしのnet accountsで実施してください。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2020年5月12日 4:07
    モデレータ
  • チャブーンさんが記載されている通りかと思います。
    AD自体はユーザー情報としてパスワードの有効期限を保持しておらず、パスワードが最後に変更された日時だけを記憶しています。そのため、クライアント端末に適用されたポリシーによって最後に変更された日付から有効期限がいつか割り出して表示しているだけなので、ポリシーが適用されている端末とポリシーが適用されていない端末からとでは表示される情報が変わってくると思います。
    • 回答としてマーク G_IT_Admin 2020年5月12日 6:44
    2020年5月12日 6:19
  • チャブーンさん

    早速のご回答ありがとうございます。

    >> Default Domai Policyの変更事項が「各クライアントに」反映していないと思います。クライアント上でgpresult /hで適用状況を確認してください。
    ⇒ Default Domain Policyの記述は見当たりませんでした。(独自に作成した他のGPOは適用されていました)
    Default Domain Policyは必ず適用されるものだと思っていたのですが。。

    >> 引数なしのnet accountsで実施してください。
    ⇒ 結果は同じで、有効期限は90日で表示されておりました。

    その後、いろいろと調べてみた結果、どうやらPSOが別途設定されていたようです。
    ※PSOという存在を本日初めて知りました。。

    PSOを確認したところ、パスワード有効期限は42日でした。
    PSOが設定されるとDefault Domain Policyより優先されるという記述があったのですが、この認識で合っていますでしょうか?

    2020年5月12日 7:11
  • PSOが設定されている場合はPSOが優先されることになります。
    • 回答としてマーク G_IT_Admin 2020年5月12日 7:46
    2020年5月12日 7:37
  • Kaz8629さん、ありがとうございます。

    PSOが優先される旨、承知いたしました。
    こちらの内容を変更して、一旦様子見にしてみます。

    今までPSOという存在を知らなかったというのもあり、完全に盲点でした。。

    初歩的すぎる質問で失礼いたしました。

    2020年5月12日 7:55