none
ActiveDirectoryアカウントのパスワード期限通知が行えない RRS feed

  • 質問

  • 質問をご覧いただきありがとうございます。
    (先立ってコミュニティに投稿しておりましたが、こちらへと誘導頂きました)

    Windows 2008 Server R2をActiveDirectoryとして利用しています。
    こちらにドメインユーザを作成し、Windows7をメインとしたクライアントPCで、
    ドメインへログオンして日々の業務を行うスタイルを取っております。

    こちらでですが、ActiveDirectory上でパスワード期限切れ前に通知する設定を行っていますが、
    そのタイミングになってもクライアントPCへ通知が行われません。
    どのような原因が考えられるのか、ご教示いただけないでしょうか。
    設定は以下の通りです。

    【ActiveDirectory】
    Default Domain Policyが以下のようになっています。
    Windowsの設定 > セキュリティの設定 > ローカルポリシー/セキュリティオプション > 対話型ログオン
    対話型ログオン: パスワードが無効になる前にユーザーに変更を促す > 14日間

    【クライアントPC】
    ドメインadminでログオンしてgpresult /z の結果を取得すると、以下のようになっていますので、
    ポリシー自体は適用されているように見えるのですが、この値を大きくして通知対象としてみても動きません。
    >             GPO: Default Domain Policy
    >                 ポリシー:          @wsecedit.dll,-59031
    >                 値名:         MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning
    >                 コンピューター設定:  14

    よろしくお願いいたします。


    2014年5月27日 8:49

回答

  • チャブーンです。

    この件ですが、Windowsの高速ログオン機能で、ログオン時にパスワード期限が表示される動作が同期的に実行されていないのかもしれませんね。ログオン時に確実に動作させたいということであれば、高速ログオンを無効にする「コンピューターの起動およびログオンで常にネットワークを待つ」を設定すると改善するかもしれません。

    http://technet.microsoft.com/ja-jp/windowsserver/ws2k8_tips46.aspx

    • 回答の候補に設定 佐伯玲 2014年5月30日 2:44
    • 回答としてマーク terashimay 2014年6月10日 10:58
    2014年5月29日 2:03
    モデレータ

すべての返信

  • チャブーンです。

    この件ですが、Windowsの高速ログオン機能で、ログオン時にパスワード期限が表示される動作が同期的に実行されていないのかもしれませんね。ログオン時に確実に動作させたいということであれば、高速ログオンを無効にする「コンピューターの起動およびログオンで常にネットワークを待つ」を設定すると改善するかもしれません。

    http://technet.microsoft.com/ja-jp/windowsserver/ws2k8_tips46.aspx

    • 回答の候補に設定 佐伯玲 2014年5月30日 2:44
    • 回答としてマーク terashimay 2014年6月10日 10:58
    2014年5月29日 2:03
    モデレータ
  • チャブーン様

    質問を投稿させていただきました寺嶋(terashimay)です。
    環境の都合によりこちらからの返信が遅れましたことをお詫びいたします。

    ご指摘の設定を行い、
    更に検証用にパスワード期限切れ通知日数を延ばしたところ、
    正常に通知が飛んでくるようになりました。
    ただし、この設定を行う前から通知を受け取れていたメンバも居るようで、
    その点は正直まだ謎となっています。

    実際の設定日数(14)にて、明日・明後日あたりに警告の出る想定メンバがおりますため、
    動作を確認させていただき、問題なければ回答としてマークさせていただきます。
    よろしくお願いいたします。


    2014年6月3日 7:35
  • チャブーン様

    質問を投稿させていただきました寺嶋(terashimay)です。
    再度御礼が遅れましたことをお詫びいたします。

    結論から申し上げますと、PCによりけりな部分はありましたが、
    大多数のPCで想定通りにパスワード変更通知を出せるようになりました。
    ADとの同期の契機をいくつか追加しましたので、
    同期される確率が上がって想定通りの動きになったように思います。

    試行のヒントをいただきましたことに感謝いたします。
    ありがとうございました。


    2014年6月10日 10:59