none
Windows Server2008 R2 パスワードポリシーの設定に関する質問 RRS feed

  • 質問

  • Windows Server2008 R2

    パスワードポリシー設定に関する質問です。

    ユーザーアカウントの登録時、「ユーザーは次回ログオン時にパスワードの変更が必要」とした場合です。

    【目的】
    ・クライントの初回接続時は、仮パスワードでログオンする。
    ・その時点でクライアント自身に次回からログオンするパスワードを設定させる。
    ・180日ごとにクライアントにパスワードを変更させる。

    【Server 設定内容】
    ・ユーザーアカウントの登録は、「ユーザーは次回ログオン時にパスワードの変更が必要」にのみチェック。
    ・初回ログオン用の仮パスワードを登録。

    ◇パスワードポリシー
    ・パスワードの長さは、8文字以上。
    ・パスワードの変更禁止期間は、0日。
    ・パスワードの有効期間は、180日。
    ・パスワードの履歴記録は、1回。
    ・それ以外は、無効に設定。

    【状況】
    ・ログオンのパスワード変更試験は、Windows7のパソコンをクライアントとして確認。

    1)クライアントが初回仮パスワードを入力してログオン後、「次に接続するためのパスワードを入力してください」のウインドウ
    でパスワードを設定して「OK」をクリック。

    ※「ユーザーは最初にログオンする前にパスワードを変更しなければなりません」とウインドウに表示。

    3)同じく「次に接続するためのパスワードを入力してください」のウインドウが表示され、「ログオン失敗:ユーザー名を認識
    できないか、またはパスワードが間違っています」と表示される。

    4)初回パスワードを再入力すると、2)のウインドウが再び開くため、もう一度初回パスワードを入力すると同じウインドウが
    表示されます。

    5)変更するパスワードを入力すると、再び3)のウインドウが表示されます。

    ●一体、どの画面でパスワードを変更してログオンするのか判りません・・・。
    ※パスワードは、設定されたポリシー(8文字以上の英数字/同じ連続文字列は含まず)に合致しています。

    ・Server側の設定に問題があるのでしょうか?

     

    • 移動 Jundan Wu 2012年10月3日 17:51 (移動元:Windows Server 2008 R2 全般)
    2011年12月20日 9:21

回答

  • チャブーンです。

    最初はどういう状況かわからなかったのですが、(ABEさんとのやりとりで)「ワークグループ環境でクライアントから、サーバー上のアカウントのパスワードを変更したい」という内容と理解しました。

    で、答えですが、「設定を変えればできます」ということになります。

    クライアントからのパスワードの変更の仕方ですが、[Ctrl]+[Alt]+[Del]キーを押して、[パスワードの変更]からしたのように入力したらいいでしょう。

    ----
    [(サーバーの名前またはIPアドレス)\ユーザー名]
    [古いパスワード]
    [新しいパスワード]
    [新しいパスワードの確認]
    ----

    ただし、うえの方法が有効になるには、サーバーのセキュリティポリシーの設定を変更しなければなりません。したの方法になるでしょう。

    1. [ファイル名を指定して実行]からgpedit.mscを実行し、グループポリシーエディタを呼び出す。
    2. [コンピューターの構成]-[Windowsの設定]-[セキュリティの設定]-[ローカルポリシー]-[セキュリティオプション]の"ネットワークアクセス:リモートからアクセスできる名前付きパイプ"ポリシーに「SAMR」という文字を加える。
    3. サーバーを再起動する。

    ABEさんのおっしゃりようはもっともですけれど、Active Directory導入自体は簡単ですが、導入にあたっての調整事項(社内でのシステム調査や認可等)が大変すぎる、という話しはよく聞くので、こういう方法は覚えておいても、悪くないとは思います。

    [追記]

    大事なことを忘れていました。パスワードの変更は確かにうえの方法で「できます」けれど、クライアントのログオンアカウントの名前が同じ場合、ABEさんがおっしゃるようにパスワードが違うと接続に失敗します。これを回避するには、(すでに出ていますが)資格情報マネージャーで「特定のサーバーに接続するときのアカウントとパスワードを指定する」か、ネットワークドライブを構成してこの中で「サーバーのアカウントとパスワード」を指定します。資格情報マネージャーの方がわかりやすいでしょうね。

    http://windows.microsoft.com/ja-JP/windows7/What-is-Credential-Manager
    http://handcraft.blogsite.org/ComponentGeek/ShowArticle/308.aspx

     

    2011年12月23日 11:52
    モデレータ
  • チャブーンです。

    まず、Windows XP で「パスワードの変更」画面を表示させるには、各クライアント上で「ようこそ画面」を無効に設定します。したのページがわかりやすいでしょう。

    http://trendy.nikkeibp.co.jp/article/tec/winxp/20060810/118109/

    で、Windows 7での「資格情報の管理」にあたる設定は、「ネットワークパスワードを管理する」という項目になります。したのページに出し方が書いてあります。

    http://pcsupport.happy-ritaiya.net/2009/04/post_66.php

    うえをみてお分かりだと思いますが、ワークグループ環境では「サーバー側からクライアントを管理する」ということは一切できません。クライアントの設定は各クライアント上でそれぞれ行わなければならないのです。

    ですからABEさんのコメントにあったように、サーバー側でクライアントを一括管理するには、Active Directoryを使う以外方法がない、ということになります。

    • 回答としてマーク 田中夢 2012年1月11日 6:30
    2011年12月27日 1:00
    モデレータ
  • チャブーンです。

    ええと。今回いただいた情報から、お使いのシステムは "Windows Server 2008 R2 SP1" だということが分かりました。残念ですが、ご紹介した修正プログラムは "Windows Server 2008 R2 RTM (SPなし)" 向けに提供されているもので (SP1 では適用済みの内容) SP1 にインストールすることはできません。

    うえの状況から、理由が違う可能性がありますね。もし今いえそうなことがあるなら、NICのドライバを最新のものの(ハードウェアベンダに確認していただくべきです)に変更したら直るかも、ぐらいで、うまく直す方法をご紹介するのは難しそうです。

    すでに、別の設定をいじってしまって、OS がちゃんと動作していない可能性もありますので、共有フォルダに格納されたファイルのデータだけをバックアップして、OSのインストールからやり直された方がいいかもしれません。

    バックアップを取っていてリストアできない、というお話しですが、どのようにバックアップを取っているのか、どう操作したら問題が出たのか、ということを、細かく聞かせていただかないと、適切なアドバイスができないように思います。

    うえのような話しを無償掲示板で行うにはムリがあると思いますので、(サーバーの)OEMベンダーか、MSの有償サポートに支援をお願いした方が、うまくいくように思いますよ。

    • 回答としてマーク 田中夢 2012年1月11日 6:30
    2011年12月28日 0:59
    モデレータ

すべての返信

  • 確認ですが、ドメイン環境において、Default Domain Policy に対して設定したと考えてよろしいでしょうか?

    であれば、1)の作業で問題ないと思いますが・・・

    もしワークグループでローカルポリシーによる設定なら、パスワード変更はローカルログオンしたユーザーで行うのが基本だと認識しています。

    ワークグループ環境では、全てのマシンで同一アカウントおよび同一パスワードにしないと運用は難しいですね。ただし資格情報マネージャーを使う方法もありますが・・・

    前提がどのようになっているのかが不明なので何とも言えませんが・・・

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    2011年12月22日 1:53
    モデレータ
  • ご回答、ありがとうございます。

    ◇ワークグループ環境で部門のファイルサーバーを運用しようとしています。

     クライアント: 1部門、2つの課で8つの業務グループ、80名がアクセスします。(CALは全従業員1,000名分 )

     アクセス権: 8つのグループが異なる権限でアクセスします。 同一グループでも権限が役職で異なり、フォルダー別でも権限が異なります。

     ユーザー: 80名のユーザーを登録し、役職と業務グループで分けています。

    ◯クライアントが、ネットワーク経由(異なるセグメント)でログインし、パスワードを変更します。

    △やはり、ドメイン環境かActive Directoryを構築した環境で運用しないと難しいのでしょうか・・・。

     ・「資格情報マネージャー」を使えば、目的の運用は可能なのでしょうか?

     

     

     

      

     

     

     

    2011年12月22日 7:09
  • 明らかにドメイン環境に移行するべきだと思います。

    「資格情報マネージャー」とは、特定のサーバーにアクセスする際にユーザー名とパスワードを記憶しておくものです。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    2011年12月22日 13:58
    モデレータ
  • チャブーンです。

    最初はどういう状況かわからなかったのですが、(ABEさんとのやりとりで)「ワークグループ環境でクライアントから、サーバー上のアカウントのパスワードを変更したい」という内容と理解しました。

    で、答えですが、「設定を変えればできます」ということになります。

    クライアントからのパスワードの変更の仕方ですが、[Ctrl]+[Alt]+[Del]キーを押して、[パスワードの変更]からしたのように入力したらいいでしょう。

    ----
    [(サーバーの名前またはIPアドレス)\ユーザー名]
    [古いパスワード]
    [新しいパスワード]
    [新しいパスワードの確認]
    ----

    ただし、うえの方法が有効になるには、サーバーのセキュリティポリシーの設定を変更しなければなりません。したの方法になるでしょう。

    1. [ファイル名を指定して実行]からgpedit.mscを実行し、グループポリシーエディタを呼び出す。
    2. [コンピューターの構成]-[Windowsの設定]-[セキュリティの設定]-[ローカルポリシー]-[セキュリティオプション]の"ネットワークアクセス:リモートからアクセスできる名前付きパイプ"ポリシーに「SAMR」という文字を加える。
    3. サーバーを再起動する。

    ABEさんのおっしゃりようはもっともですけれど、Active Directory導入自体は簡単ですが、導入にあたっての調整事項(社内でのシステム調査や認可等)が大変すぎる、という話しはよく聞くので、こういう方法は覚えておいても、悪くないとは思います。

    [追記]

    大事なことを忘れていました。パスワードの変更は確かにうえの方法で「できます」けれど、クライアントのログオンアカウントの名前が同じ場合、ABEさんがおっしゃるようにパスワードが違うと接続に失敗します。これを回避するには、(すでに出ていますが)資格情報マネージャーで「特定のサーバーに接続するときのアカウントとパスワードを指定する」か、ネットワークドライブを構成してこの中で「サーバーのアカウントとパスワード」を指定します。資格情報マネージャーの方がわかりやすいでしょうね。

    http://windows.microsoft.com/ja-JP/windows7/What-is-Credential-Manager
    http://handcraft.blogsite.org/ComponentGeek/ShowArticle/308.aspx

     

    2011年12月23日 11:52
    モデレータ
  • ABE NAOKIさん

    ご返答、ありがとうございました。

    ワークグループ内には、別のファイルサーバーがあるため、全く知識を持たない

    「Active Directory」や「ドメイン」の環境構築には二の足を踏んでいます・・・。

    パスワードを無期限とし、定期的に変更する方法も視野に入れて検討します。

     

     

     


    • 編集済み VTR1000F 2011年12月26日 9:15
    2011年12月26日 8:29
  • チャブーンさん

    ご返答ありがとうございます。

    ◯ご指導いただいた方法を試したところ、クライアントのOSが「Windows7 Pro」の場合、問題なくパスワードを変更できました。

    △クライアントのOSが「WindowsXP Pro」の場合は、「ネットワークパスが見つかりません」のウインドウが表示され、ID/パスワードの

      入力ウインドウが表示されず、「Windows7」と同じ方法で変更できませんでした・・・。

      (クライアントのログオン名及びパスワードが同じ場合も違う場合も同様、Windows7はどちらの場合でも問題なし)

      ・「WindowsXP Pro」のローカルOSにログオン後、、[Ctrl]+[Alt]+[Del]キーを押すとタスクマネージャーが起動するため、

      「Windows7」と同様にID/パスワードの入力ウインドウを表示させることができませんでした。

      ログオフして「サーバー名¥ユーザー名」を入力し、同様に変更を行いましたが、PCのログインユーザー名とパスワードが

      異なるためダメでした。

      ・「WindowsServer2003」にアクセスするときは、ID/パスワードの入力画面は表示されます。

    △サーバー側でネットワークアクセス等の設定が、何か不足しているのでしょうか?

      ・「資格情報マネージャー」は、OSが「WindowsXP Pro」でもクライアント側で設定可能なのでしょうか?

      ・「資格情報マネージャー」は、Server側で各々のアカウント個々に設定すればいいのでしょうか?

    単純なファイルサーバーとして「WindowsServer2003」を運用した経験しかなく、知識が乏しいため質問ばかりになり、申し訳ありません。

     



    • 編集済み VTR1000F 2011年12月26日 9:15
    2011年12月26日 9:01
  • チャブーンです。

    まず、Windows XP で「パスワードの変更」画面を表示させるには、各クライアント上で「ようこそ画面」を無効に設定します。したのページがわかりやすいでしょう。

    http://trendy.nikkeibp.co.jp/article/tec/winxp/20060810/118109/

    で、Windows 7での「資格情報の管理」にあたる設定は、「ネットワークパスワードを管理する」という項目になります。したのページに出し方が書いてあります。

    http://pcsupport.happy-ritaiya.net/2009/04/post_66.php

    うえをみてお分かりだと思いますが、ワークグループ環境では「サーバー側からクライアントを管理する」ということは一切できません。クライアントの設定は各クライアント上でそれぞれ行わなければならないのです。

    ですからABEさんのコメントにあったように、サーバー側でクライアントを一括管理するには、Active Directoryを使う以外方法がない、ということになります。

    • 回答としてマーク 田中夢 2012年1月11日 6:30
    2011年12月27日 1:00
    モデレータ
  • チャブーンさん

    ご返答ありがとうございました。

    ◯ご指導の方法で「WindowsXp」のログオン状態から、パスワードの変更ウインドウを表示させることができました。

    ☓本日は会議の予定が入っていたため、昨日中に目処を付けようとサーバー側で余計なことをしてしまい、ブルーウインドウを

     表示し再起動を繰り返す状況になってしまいました・・・。

     ・WindowsServer2003では、ユーザーID/パスワードの入力画面が表示されるため、「セキュリティオプションを同じに

      すればいいだろう?」と勝手に思い下記の処理を行いました。

     1)「リモートアクセスのパイプ」にWindowsServer2003と同じTextを書き込み再起動。 ⇒変わらず

     2)「匿名でアクセスできる共有」にWindowsServer2003と同じTextを書き込み再起動。 ⇒変わらず

     3)「初期構成タスク」のネットワーク構成でインターネット経由のアクセスを可能に変更。 ⇒ブラックアウトして再起動

     4)サーバーマネージャーの読込完了後、STOPエラーのブルースクリーンが出て再起動。 ⇒繰り返し

      IRQL_NOT_LESS_OR_EQUAL

      STOP: 0x000000D1

      NETIO.SYS

     5)ネットワーク関連で余計なことをしたと思ったので、、、

      ・セーブモードでセキュリティオプションで書き込んだテキストを削除して再起動。 ⇒同じ

      ・セーブモードでスタートアップに登録された「NAS Navigator」と「NAS Schduler」を削除して再起動。 ⇒同じ

      ・セーブモードでデバイスマネージャーからネットワークアダプターを無効にして再起動。 ⇒同じ

     6)Windowsのバックアップイメージからのリカバリーにトライ

      ・リカバリーポイントが無い旨の表示。(毎日Directory:Dに標準バックアップしてるのに・・・)

     7)Symantec System Recovery から、システムのリカバリーをトライ

      ・リカバリー用メディアを入れ、Directory0:Dからのイメージでリカバリーを試みるも「D:」が表示されず。

    途方に暮れてしまいました・・・。

    ◎当初の質問に於ける問題は、チャブーンさんのご指導により解決したと思われます。

     非常に有益な情報で助かりました、ありがとうございます。


    • 編集済み VTR1000F 2011年12月27日 5:21
    2011年12月27日 5:20
  • チャブーンです。

    手短にコメントします。

    ----
    IRQL_NOT_LESS_OR_EQUAL
    STOP: 0x000000D1
    NETIO.SYS
    ----

    このエラーに対しては、WFPのロールアップパッケージをインストールすることで、NETIO.SYSを修正できる可能性があります。こまかいことは、したのページを見てみてください。修正プログラムは「View and request hotfix downloads 」から、ご自身で請求してみてください。

    http://support.microsoft.com/kb/981889/en-us

    2011年12月27日 7:22
    モデレータ
  • チャブーンさん、ご返答ありがとうございます。


    ☓早速試してみましたが、「お使いのコンピューターは対応していません」 とのメッセージが表示されました・・・。

     下記の3種類のアップデートプログラムを其々入手して試しました。
      1)Windows6.1-KB981889-x86.msu
      2)Windows6.1-KB981889-x64.msu
      3)Windows6.1-KB981889-ia64.msu

    【適用実施手順】
     1)セーブモードでWindowsを起動し、USBメモリーに保管した上記のアップデートプログラムをデスクトップに保管。
     
     2)再起動を行いOSを通常起動させ、ブルースクリーンが表示されるまでにデスクトップ上の該当ファイルを実行。

     3)ファイルは読み込まれましたが、「お使いのコンピューターには対応していません」と言う旨のメッセージが表示され

      アップデートできませんでした。

      ・Windows Server 2008R2 Standard SP1のため、2)で合っていると思うのですが・・・。

    ◆Windowsを起動せず、コマンドプロンプトから実行させる必要があるのでしょうか?

     

     

    2011年12月27日 10:00
  • チャブーンです。

    ええと。今回いただいた情報から、お使いのシステムは "Windows Server 2008 R2 SP1" だということが分かりました。残念ですが、ご紹介した修正プログラムは "Windows Server 2008 R2 RTM (SPなし)" 向けに提供されているもので (SP1 では適用済みの内容) SP1 にインストールすることはできません。

    うえの状況から、理由が違う可能性がありますね。もし今いえそうなことがあるなら、NICのドライバを最新のものの(ハードウェアベンダに確認していただくべきです)に変更したら直るかも、ぐらいで、うまく直す方法をご紹介するのは難しそうです。

    すでに、別の設定をいじってしまって、OS がちゃんと動作していない可能性もありますので、共有フォルダに格納されたファイルのデータだけをバックアップして、OSのインストールからやり直された方がいいかもしれません。

    バックアップを取っていてリストアできない、というお話しですが、どのようにバックアップを取っているのか、どう操作したら問題が出たのか、ということを、細かく聞かせていただかないと、適切なアドバイスができないように思います。

    うえのような話しを無償掲示板で行うにはムリがあると思いますので、(サーバーの)OEMベンダーか、MSの有償サポートに支援をお願いした方が、うまくいくように思いますよ。

    • 回答としてマーク 田中夢 2012年1月11日 6:30
    2011年12月28日 0:59
    モデレータ
  • チャブーンさん、ご返答ありがとうございます。

    適用済みのアップデートだったのですね。

    ・NICのDriverは最新のものがありましたのでDLして試すことにします。

    バックアップは、Symantec System Recovery とWindows付属バックアップの両方で行なっています。

    ・Windows付属のリカバリーは、修復操作を開始させるまでにブルースクリーンになり再起動するため断念。

    ・Symantec System Recovery  は、NASに保管したリカバリーデータをUSB-Driveに移し、Recovery用CDからブートして簡易OSからのリカバリーを試みたところ、修復元であるリカバリーポイントのUSB-Driveは認識されますが、修復先のHD-Driveが「無効」で表示されないため悩んでいました。

    ◎当初の質問とは異なる内容にまでご回答いただき、ありがとうございました。

     ・サーバーの保守契約先に問い合わせてみます。(ハードの問題ではなさそうなので、サポート対象外かも知れません・・・)

     

     

    2011年12月28日 3:21
  • こんにちは。
    フォーラム オペレーターの田中夢です。
     
    ABE NAOKI さん、チャブーン さん
    いつも参考になるアドバイスをありがとうございます。
     
    VTR1000F  さん
    本来のご質問につきまして、無事に解決したとの報告を頂きありがとうございます。

    今回、 チャブーン さんの投稿をトラブルシューティングの参考にしていただけたようですので、勝手ながら私のほうで [回答としてマーク] をつけさせていただきますね。


    今後とも TechNet フォーラムをよろしくお願いいたします。
    ---------------------------------------------------------------------
    日本マイクロソフト株式会社 フォーラム オペレーター 田中夢

    2012年1月11日 6:30