none
アカウントポリシーで設定したパスワード有効期間を過ぎた場合の動作について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

     

    ドメインの機能レベルを「Windows Server 2003」で構築し

    ユーザのセキュリティや制限をグループポリシーで設定したいと思います。

     

    グループポリシーを編集し、「アカウントポリシー」-「パスワードのポリシー」で

    パスワードの有効期限を設定しました。

     

     

    パスワードの有効期限が過ぎた場合、システムから変更するよう要求されると思いますが

    そのまま変更しなかった場合、どうなるのでしょうか。

     

    ユーザ管理を出来るだけ自動化させたいと思っております。

    パスワードの変更期間が過ぎた場合、アカウントのロックや無効化などのような

    設定は出来ませんでしょうか。

     

    また、退職者や一定期間使用していないアカウントを抽出したいと思っているのですが

    そういったアカウントの一覧の抽出方法はどのようにすればよいでしょうか。

    2008年8月7日 2:27
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

     

    > パスワードの有効期限が過ぎた場合、システムから変更するよう要求されると思いますが

    > そのまま変更しなかった場合、どうなるのでしょうか。

     

    単にパスワードが期限切れ、という扱いとなり、ネットワークベースではパスワードが無効に、Windows ログオン時には "パスワードの変更を強要される" だけです。それ以外の変更点はありません(以前のパスワード情報が消えてしまったりといったことはありません)。

     

    > パスワードの変更期間が過ぎた場合、アカウントのロックや無効化などのような

    > 設定は出来ませんでしょうか。

     

    そういった機能は、標準では組み込まれていません。そういうことがしたいなら、自分で作り込むしかないですが、「管理の自動化」のためにそういうことをする例はあまりないと思いますよ。こういった場合、したのような方法で "一定期間ログオン利用していないユーザ" を抽出して、このアカウントを無効化する、といった方法になるかしら、と思います。

     

    蛇足ですが、アカウントのロックアウト、というのはセキュリティ侵害時の緊急レベルでの対応ソリューションとして用意されたものですので、ユーザアカウント管理要件にロックアウトを使うことは、適切ではないでしょう。

    #でないと、○○分後にロックアウト解除、というポリシーが全く使えなくなります

     

    > また、退職者や一定期間使用していないアカウントを抽出したいと思っているのですが

     

    これについては、ユーザオブジェクトの "lastLogon" 属性や "lastLogonTimeStamp" 属性を使って、ユーザの最終ログオン時間で判定することが普通です。これについては、したに資料がありますよ。

     

    http://www.microsoft.com/japan/technet/scriptcenter/topics/win2003/lastlogon.mspx

     

     

    2008年8月11日 8:00
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    私が理解している範囲で回答します。

     

    コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション\

    を展開すると

     

    対話型ログオン : パスワードが無効になる前にユーザーに変更を促す

    セキュリテイオプションがあります。

     

    >説明

    >パスワードの有効期限が近づいていることを何日前からユーザーに警告するのか決定します。ユーザーは、この事前警告により、十分に強力なパスワードを考える時間が与えられます。

    例えばこのセキュリテイオプションを有効にし、14 日にすると、有効期限が切れる14 日前から、ドメインにログオンするユーザーに警告を出すようにすることができます。

     

    パスワードの有効期限が切れてもアカウントがロックアウトされるわけではありません。ユーザーは自身でパスワードを変更できます。メッセージは「パスワードの有効期限が切れています。・・・・・・・」

     

    ユーザーアカウントのロックアウトするポリシーについては、

    コンピュータの構成\Windows の設定\セキュリティの設定\アカウント ポリシー\アカウント ロックアウトのポリシー\

    を展開してください。例えば3回パスワードを間違えると30分間ロックアウトするには

     ロックアウト期間・・・・・・・・・・・30分

     アカウントのロックアウトのしきい値・・・・3

    ロックアウト カウントのリセット・・・・・・3

     とします。

     

    (注)パスワードポリシーはドメイン単位でしか適用できません。(OU単位で違ったパスワードポリシーを適用することはできません。)

     

    詳細は下記の「パスワードポリシー」を展開して参照してください。

    http://technet2.microsoft.com/WindowsServer/ja/library/cc8f982e-2e2b-4136-aecc-7494216237231041.mspx?mfr=true

     

    また

    >退職者や一定期間使用していないアカウントを抽出

    する方法については、申し訳ありませんが他の回答者からの回答を期待してくださるようお願いします。 

     

    2008年8月8日 4:41
    |
  • Question
    サインインして投票
    0
    サインインして投票

    > パスワードの変更期間が過ぎた場合、アカウントのロックや無効化などのような

    > 設定は出来ませんでしょうか。

     

    > また、退職者や一定期間使用していないアカウントを抽出したいと思っているのですが

    > そういったアカウントの一覧の抽出方法はどのようにすればよいでしょうか。


    スクリプトでよければ、こちらのサイトを参照にすれば、自動化も可能です。

    スクリプト一覧 : Active Directory ユーザー アカウント
    http://www.microsoft.com/japan/technet/scriptcenter/scripts/ad/users/default.mspx

    2008年8月8日 15:57
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

     

    > パスワードの有効期限が過ぎた場合、システムから変更するよう要求されると思いますが

    > そのまま変更しなかった場合、どうなるのでしょうか。

     

    単にパスワードが期限切れ、という扱いとなり、ネットワークベースではパスワードが無効に、Windows ログオン時には "パスワードの変更を強要される" だけです。それ以外の変更点はありません(以前のパスワード情報が消えてしまったりといったことはありません)。

     

    > パスワードの変更期間が過ぎた場合、アカウントのロックや無効化などのような

    > 設定は出来ませんでしょうか。

     

    そういった機能は、標準では組み込まれていません。そういうことがしたいなら、自分で作り込むしかないですが、「管理の自動化」のためにそういうことをする例はあまりないと思いますよ。こういった場合、したのような方法で "一定期間ログオン利用していないユーザ" を抽出して、このアカウントを無効化する、といった方法になるかしら、と思います。

     

    蛇足ですが、アカウントのロックアウト、というのはセキュリティ侵害時の緊急レベルでの対応ソリューションとして用意されたものですので、ユーザアカウント管理要件にロックアウトを使うことは、適切ではないでしょう。

    #でないと、○○分後にロックアウト解除、というポリシーが全く使えなくなります

     

    > また、退職者や一定期間使用していないアカウントを抽出したいと思っているのですが

     

    これについては、ユーザオブジェクトの "lastLogon" 属性や "lastLogonTimeStamp" 属性を使って、ユーザの最終ログオン時間で判定することが普通です。これについては、したに資料がありますよ。

     

    http://www.microsoft.com/japan/technet/scriptcenter/topics/win2003/lastlogon.mspx

     

     

    2008年8月11日 8:00
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

     

    試験問題作成委員会 様
    澤田 賢也 様
    チャブーン 様

     

    回答ありがとうございました。

     

    現在の運用では、毎月アカウントをチェックしていたのですが、

    昨今アカウントの管理が非常に厳しくなってきており、今回もアカウント管理を行う上で

    退職者や一時使用者などが使用しなくなったアカウントを削除し忘れた場合

    誰が管理し、誰が責任を持つか問題になりました。

    そこで、使用しなくなったアカウントを自動的に使用できなくし、もし必要な場合は

    管理者の許可のもと使用できるような運用を考えておりました。

     

    ポリシーを探し回っていたのですが、やはりプログラムを作成するしかないのですね。

    (プログラムを作成する事が出来ず、ADの標準機能で対応したいと思っていたのですが。)

    一見ポリシーは結構細かい事まで設定できると思っていたのですが、残念です。

    アカウントの自動無効化などは今回は行わず日々の運用チェックで対応したいと思います。

     

    2008年8月23日 7:18
    |