none
Domain Users Policyとは別のグループポリシーをOUにリンクしたが、パスワードの有効期限が反映されない。 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    WindowsServer2008R2 + WindowsXP/7 のActiveDirectory環境です。

    最初にDomain Users Policyを設定しました。

    その後、新しいOU[A]を作成しました。この[A]に新しいポリシーを設定するため、

    グループポリシーオブジェクトでDomain Users Policyをコピーして、

    Domain Users Policy2に名前を変更し、このグループポリシーを[A]にリンクさせました。

    Domain Users Policy2のパスワード変更期間を90日→7日に変更しました。

    その後、既に作成したアカウントを[A]に移動しWindows7にログインしましたが、

    90日のままでした。一度ログインして有効期限が設定されているユーザーの更新は

    次回から反映される?と思い、試しに、新規にユーザーを作成してログインしても90日のままでした。

    確認はnet user アカウント名で確認しています。グループポリシーの継承タブで

    確認しましたが、1はDomain Users Policy2 2はDomain Userrs Policyとなっていました。

    ユーザーのアカウントオプションは「パスワードを無期限にする」等は設定していません。

     

    2015年2月23日 4:06
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    Active Directory の GPO では アカウント ポリシーはドメインに 1 つだけという制限があるため、アカウント ポリシーを複数設定することはできません。

    TITLE : 脅威とその対策: アカウント ポリシー
    URL   : https://technet.microsoft.com/ja-jp/library/hh125920(v=ws.10).aspx
    --> 以下に メモ 部分を抜粋
    ------------------------------------------------------------
    各ドメインは、アカウント ポリシーの設定を 1 つだけを持つことができます。 既定のドメイン ポリシーはドメイン内のドメイン コント ローラーで既定で適用されるポリシーです。 アカウント ポリシーの設定を既定のドメイン ポリシーやドメインのルートにリンクされた新しいポリシーを定義し、既定のドメイン ポリシーより優先する必要があります。 ドメイン全体にわたるアカウント ポリシーの設定 (パスワード ポリシー、アカウント ロックアウトのポリシー、および Kerberos ポリシー) は、ドメイン内のドメイン コント ローラーによって適用されます。 したがって、ドメイン コント ローラーは、常に既定のドメイン ポリシー GPO からアカウント ポリシー設定の値取得します。
    ------------------------------------------------------------

    しかしながら、パスワード ポリシーに関しては、Windows 2008 以降で追加された、細かい設定が可能なパスワード ポリシー (きめ細かなパスワード ポリシー) を使うことで、パスワード ポリシーを使い分けることができますので、ご確認ください。

    TITLE : AD DS: 細かい設定が可能なパスワード ポリシー
    URL   : https://technet.microsoft.com/ja-jp/library/056a73ef-5c9e-44d7-acc1-4f0bade6cd75.aspx

    2015年2月23日 4:37
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    Active Directory の GPO では アカウント ポリシーはドメインに 1 つだけという制限があるため、アカウント ポリシーを複数設定することはできません。

    TITLE : 脅威とその対策: アカウント ポリシー
    URL   : https://technet.microsoft.com/ja-jp/library/hh125920(v=ws.10).aspx
    --> 以下に メモ 部分を抜粋
    ------------------------------------------------------------
    各ドメインは、アカウント ポリシーの設定を 1 つだけを持つことができます。 既定のドメイン ポリシーはドメイン内のドメイン コント ローラーで既定で適用されるポリシーです。 アカウント ポリシーの設定を既定のドメイン ポリシーやドメインのルートにリンクされた新しいポリシーを定義し、既定のドメイン ポリシーより優先する必要があります。 ドメイン全体にわたるアカウント ポリシーの設定 (パスワード ポリシー、アカウント ロックアウトのポリシー、および Kerberos ポリシー) は、ドメイン内のドメイン コント ローラーによって適用されます。 したがって、ドメイン コント ローラーは、常に既定のドメイン ポリシー GPO からアカウント ポリシー設定の値取得します。
    ------------------------------------------------------------

    しかしながら、パスワード ポリシーに関しては、Windows 2008 以降で追加された、細かい設定が可能なパスワード ポリシー (きめ細かなパスワード ポリシー) を使うことで、パスワード ポリシーを使い分けることができますので、ご確認ください。

    TITLE : AD DS: 細かい設定が可能なパスワード ポリシー
    URL   : https://technet.microsoft.com/ja-jp/library/056a73ef-5c9e-44d7-acc1-4f0bade6cd75.aspx

    2015年2月23日 4:37
    |
  • Question
    サインインして投票
    0
    サインインして投票
    こんにちは、HA_U さん
    フォーラムオペレータの佐伯 玲 です。

    その後a_pierrotさんからお寄せいただけている情報はご覧いただけましたでしょうか?
    ご参考になる情報が提供いただけているかと思いますので私のほうから「回答としてマーク」とさせていただきますね。

    お試しいただけた結果や寄せられた情報に関しての疑問等こちらのスレッドへその後の状況をご返信くださいませ。


    宜しくお願い致します。

    TechNet Community Support 佐伯 玲

    2015年3月4日 8:10
    |