none
ユーザーアカウントのパスワード管理について RRS feed

  • 質問

  • Active Directoryでユーザのアカウントを一元管理しておりセキュリティの観点よりパスワードの有効期限を3ヶ月で設定しています。

    有効期限が切れる数日前よりパスワード変更を促すメッセージが出ますが、Windows10にクライアントを変更したところ有効期限切れするユーザーが相次いでいます。

    仕方なくシステム管理者が、パスワードを初期化して対応を行っていますが、あまりに頻度が高く困っております。

    そもそもパスワード有効期限が切れたらクライアントへログインをできなくする対応が取れればいいと思うのですが、そのようなことは可能なのでしょうか。

    詳しい方いらっしゃいましたらご教示いただければ幸いです。

    2017年7月20日 22:24

回答

  • チャブーンです。

    この件なのですが、そもそも論として、

    そもそもパスワード有効期限が切れたらクライアントへログインをできなくする対応が取れればいいと思うのですが、そのようなことは可能なのでしょうか。

    パスワードの有効期限が切れた場合、クライアントにサインイン時に「パスワードの変更」を強制する画面が出てきますので、そこでユーザーはパスワードを変更できます。これが既定です。

    この画面が表示されず、ユーザーは旧パスワードでローカルサインインできてしまい、共有フォルダーにはアクセスできず、問題が起こるということなのでしょうか?

    そういうことであれば、グループポリシー[コンピューターの起動およびログオンで常にネットワークを待つ]というポリシーをWindows 10クライアントに適用してください。そうすると、サインイン時に必ず認証の確認を行いますので、「旧パスワードでサインイン」ということ自体できなくなり、既定通りの動作を行うようになります。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2017年7月25日 9:46
    モデレータ

すべての返信

  • oooohです。

    私が知る限りだと、そういう方法は標準実装されていなかったと思います。

    アカウント停止にできたとしてもアカウントを再度有効にする手間も増えそうです。

    以下はただの提案ですが、

    部門管理者端末にRSATを入れて、各部門ユーザーOUにてOU権限の委任(パスワード変更権限)を各部門長アカウントに付与して、

    パスワードの初期化だけは各部門長にやってもらうのはいかがでしょうか。

    2017年7月21日 5:38
  • はじめまして。質問の直接の回答ではございませんが,1つの対応案を記載します。

    本事象ですが,各ユーザの属性に "ユーザはパスワードを変更できない" がオンになっているため,管理者側の変更作業が強制的に発生しているかと思います。

    <ユーザー> プロパティ シート - 全般

    https://technet.microsoft.com/ja-jp/library/dd145459(v=ws.11).aspx

    もしも,上記設定がオン且つ管理者側の負荷を無くしたい場合は,設定をはずすことで実現可能かと思います (有効期限が切れた後,ユーザ側にて強制的にパスワード変更させる)

    mr-r00 さまのシステム環境のセキュリティ要件によりますが,上記対応が可能であればご検討ください。

    以上,参考になれば幸いです。


    • 編集済み Zaamasu 2017年7月22日 3:36
    2017年7月22日 3:35
  • 他の方からのコメントもありますが、いくつか気になる点がありますので指摘いたします。

    > 有効期限が切れる数日前よりパスワード変更を促すメッセージが出ますが

    このプロンプトに対してユーザーはどう対処する運用にされているのでしょう?
    ざあますさんが書かれているように「ユーザはパスワードを変更できない」が構成されており、ユーザーが管理者に申告して新しいパスワードを受領することになっているのでしょうか。

    > Windows10にクライアントを変更したところ有効期限切れするユーザーが相次いでいます

    なぜ Windows 10 クライアントで以前のバージョンに比べて有効期限を切らしてしまうユーザーが多くなるのか、その原因は(ユーザーへのヒアリングやログの確認などで)調査されているのでしょうか。
    トリガーが Windows 10 への変更であれば、なぜそのトリガーで有効期限切れが発生するのかのシナリオを正しく把握しないと、対策をたてにくいかと思います。


    hebikuzure

    2017年7月22日 5:53
  • 回答ありがとうございます。

    やはり標準では実装されていないですよね。

    アカウントロックまで行かなくても強制変更画面が出せればよいのですが・・・(;^_^Aないんですよね

    各部門長に委ねる方法を考えましたが、却下されているので別方法を考えています。

    
    2017年7月23日 4:52
  • 回答ありがとうございます。

    確認してみたいと思います!!!

    2017年7月23日 4:52
  • 回答ありがとうございます。

    プロンプトに対しては、ユーザーが事前に変更するようにしています。

    有効期限切れユーザーはたいてい画面を見ていないと聞いています。

    きちんとされている方はこまめにパスワードを変えてくれているので・・・

    2017年7月23日 4:54
  • > 有効期限切れユーザーはたいてい画面を見ていないと聞いています。

    「画面を見ていない」というのが「画面が表示されていないので見ていない」なのか「画面は表示されたかもしれないが注意していないので見ていない」なのかの調査/分析も必要ですね。前者なら何らかのトラブルですし、後者であれば教育/トレーニングや別の方法での注意喚起などの対策が取れるでしょう。

    > きちんとされている方はこまめにパスワードを変えてくれているので

    有効期限内であればユーザーが自分でパスワード変更できるが、期限切れになると自分でリセットできなくなる、ということなのでしょうか?


    hebikuzure

    2017年7月23日 5:43
  • oooohです。

    mr-r00様の話の限りだと、ざあます様のおっしゃる様な、

    「パスワード期限切れになっても期限切れパスワードでアカウントログオンは可能で、

    その際にパスワード変更画面が出る」になるはずですが、これが正常に動作していないという事ですかね?

    >アカウントロックまで行かなくても強制変更画面が出せればよいのですが

    パスワード変更画面を強制で出すには、

    「ユーザーは次回ログオン時にパスワードの変更が必要」フラグをAD側で立ててあげればいいです。

    例えばパスワードの有効期限を100日にして、ADのタスクでdsmod -mustchpwd を90日で実施させれば

    パスワード切れ前に強制的に変更させることはたぶんきっとおそらく可能と思われます。(試してません。)


    --以下おまけ-------------------------------------

    ★現在のADアカウント出力コマンドは下記

     csvde -u -f "ADアカウント一覧.csv" -r objectCategory=user -l "SAMAccountName"

    ★ADで組むタスク内容の例

     for /f "tokens=1,2 delims=," %%i in ('more ADアカウント一覧.csv') do (

     dsmod user %%i -mustchpwd  yes

     )

    --以上おまけ-------------------------------------

    ※やるならDBアカウントとかパスワード変えちゃいけないアカウントに適用しない様に気を付けてください。

    2017年7月24日 2:05
  • チャブーンです。

    この件なのですが、そもそも論として、

    そもそもパスワード有効期限が切れたらクライアントへログインをできなくする対応が取れればいいと思うのですが、そのようなことは可能なのでしょうか。

    パスワードの有効期限が切れた場合、クライアントにサインイン時に「パスワードの変更」を強制する画面が出てきますので、そこでユーザーはパスワードを変更できます。これが既定です。

    この画面が表示されず、ユーザーは旧パスワードでローカルサインインできてしまい、共有フォルダーにはアクセスできず、問題が起こるということなのでしょうか?

    そういうことであれば、グループポリシー[コンピューターの起動およびログオンで常にネットワークを待つ]というポリシーをWindows 10クライアントに適用してください。そうすると、サインイン時に必ず認証の確認を行いますので、「旧パスワードでサインイン」ということ自体できなくなり、既定通りの動作を行うようになります。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2017年7月25日 9:46
    モデレータ
  • hebikuzureさんありがとうございます。

    確かにトレーニング不足であることは否めません。

    一足飛びには出来ないので、周知徹底をするところからしてみたいと思います。

    2017年7月29日 15:30
  • oooohさんありがとうございます。

    参考にしてみます。

    使い方が合うようであれば試してみたいと思います。

    2017年7月29日 15:31
  • チャブーンさんありがとうございます。

    >この画面が表示されず、ユーザーは旧パスワードでローカルサインインできてしまい、共有フォルダーにはアクセスできず、問題が>起こるということなのでしょうか?

    その通りです。

    頂いている対策を実施してみたいと思います。

    2017年7月29日 15:32