none
ActiveDirecoryの「パスワードのポリシー」が反映されません RRS feed

  • 質問

  • 以下、内容にて原因がお分かりになる方、何卒ご教授願います m(_ _)m

    現在、Win2003ServerにてAD運用しています。
    今回新規グループを追加したのですが、既存のグループとは「パスワード有効期限のみ違うポリシーとしたいのです。

    【状況】
    ドメイン全体でのパスワードポリシーは100日間有効としていますが、新規で作成したグループ(GroupZ)は180日間有効としたいのですが、大元の100日間有効が効いてしまう。(有効期限は、AD上から net user (GroupZの)ユーザ名 でパスワードの有効期間を確認しています)

    グループ ポリシー オブジェクト エディタ の
    コンピュータの構成 - Windowsの設定 - セキュリティの設定 - アカウントポリシー - パスワードのポリシー
    を見ると、以下簡易図のようになっています。

    ■簡易図
    ~~~~~~~~~~~
    aaa.domain.local ← 30日間有効設定
    ∟Domain Controllers ← 未定義
    ∟GroupA ← 未定義
    ∟GroupZ ← 60日間有効設定

    「ポリシーを継承しない」にチェックを入れてみても変化はありませんでした。


    どうしても下位(GropuZ)で設定したポリシーが反映されないのです。
    皆様のお知恵を拝借致したく、どうぞよろしくお願い致します。m(_ _)m


    gpresult /z > d:\gp.txt も実施いたしました。
    結果は...

    ユーザー設定
    -------
    CN=999999,OU=GroupZ_User,OU=GroupZ,DC=aaa,DC=domain,DC=local
    前回のグループ ポリシーの適用時: 2009/09/14 at 9:17:50
    グループ ポリシーの適用元: aaa_server.aaa.domain.local
    グループ ポリシーの低速リンクのしきい値: 500 kbps

    適用されたグループ ポリシー オブジェクト
    ----------------------
    N/A

     次の GPO はフィルタで除外されたため適用されませんでした。
     --------------------------------
     GroupZ_User_policy
     フィルタ: 未適用 (空)

     AAA
     フィルタ: 未適用 (不明な理由)

     GroupZ_policy
     フィルタ: 未適用 (空)

     ローカル グループ ポリシー
     フィルタ: 未適用 (空)

    でした。

    ポリシーがどれも「未適用」なのがいけないのでしょうか?
    なぜグループポリシーを設定しているのに未適用になるのでしょう?不思議です。

    2009年9月14日 5:23

回答

  • したのページにもありますが、Windows Server 2003 ADではアカウントポリシーはドメイン単位でしか適用できません。

    http://hehao1.seesaa.net/article/34439130.html

    また、グループにはグループポリシーオブジェクトをリンクできません。
     

    Windows Server 2008 ADではドメインの機能レベルが、Windows Server 2008であれば複数のパスワードポリシーを構成できるようになりました。


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    • 回答としてマーク mickn 2009年9月14日 7:46
    2009年9月14日 5:48
  • Windows Server 2003の仕様でアカウントポリシーはドメインに対する設定しかできず、OUなどに対して設定しても無視されてしまいます。

    ただし、OUに対してアカウントポリシーを設定し、そのOUにコンピュータオブジェクトを含めると、ポリシーの適用されたクライアントのローカルユーザーにはそのアカウントポリシーが適用されます。

    • 回答としてマーク mickn 2009年9月14日 7:46
    2009年9月14日 5:48
  • こんにちは、阿部です

    ADのパスワードポリシーはドメイン毎での適用となりますので結論から言うとできません。

    Win2008からはきめ細かいパスワードポリシー(PSO)の実装をすることによってドメイン配下の「Default Domain Policy」によって制御されていたパスワードポリシーがPSOの制御にシフトされます。

    よって、グループやユーザー毎にパスワードポリシーを適用させたい場合はDCを2008にする必要があります。 
    • 回答としてマーク mickn 2009年9月14日 7:46
    2009年9月14日 5:55
    モデレータ

すべての返信

  • したのページにもありますが、Windows Server 2003 ADではアカウントポリシーはドメイン単位でしか適用できません。

    http://hehao1.seesaa.net/article/34439130.html

    また、グループにはグループポリシーオブジェクトをリンクできません。
     

    Windows Server 2008 ADではドメインの機能レベルが、Windows Server 2008であれば複数のパスワードポリシーを構成できるようになりました。


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    • 回答としてマーク mickn 2009年9月14日 7:46
    2009年9月14日 5:48
  • Windows Server 2003の仕様でアカウントポリシーはドメインに対する設定しかできず、OUなどに対して設定しても無視されてしまいます。

    ただし、OUに対してアカウントポリシーを設定し、そのOUにコンピュータオブジェクトを含めると、ポリシーの適用されたクライアントのローカルユーザーにはそのアカウントポリシーが適用されます。

    • 回答としてマーク mickn 2009年9月14日 7:46
    2009年9月14日 5:48
  • こんにちは、阿部です

    ADのパスワードポリシーはドメイン毎での適用となりますので結論から言うとできません。

    Win2008からはきめ細かいパスワードポリシー(PSO)の実装をすることによってドメイン配下の「Default Domain Policy」によって制御されていたパスワードポリシーがPSOの制御にシフトされます。

    よって、グループやユーザー毎にパスワードポリシーを適用させたい場合はDCを2008にする必要があります。 
    • 回答としてマーク mickn 2009年9月14日 7:46
    2009年9月14日 5:55
    モデレータ
  • 試験問題作成委員会様

    早速ご回答頂き、ありがとうございました。
    いただきました内容にて理解いたしました。2008サーバも視野に入れ今後は検討したいと思います。
    2009年9月14日 7:50
  • OMEGAT様

    早速ご回答頂き、ありがとうございました。
    とても助かりました!(=⌒ー⌒=)
    2009年9月14日 7:53
  • 阿部様

    ご丁寧なご回答、ありがとうございました!助かりました!
    2009年9月14日 7:54