none
パスワードポリシー(アカウントポリシー)が適用されていない? RRS feed

  • 質問

  • ドメコンの「グループポリシー管理」からPW関連のGPOを作成して適用しています。

    gpresultの結果は下記の通りです。

    不具合内容としては、パスワード有効期間を90日に設定しているのに40日程度でPWの変更画面が表示されてしまいます。

    gpresultの結果を見るに90で反映できているように思うのですが問題の原因分かりますでしょうか?

    一応レジストリの設定値も見ましたが30日で設定されていましたしポリシーが反映されればそちらが優先されるという認識だったので

    ここの影響は考えなくて良いのかな?と考えております。

    コンピューター設定
    -------------------

        ・

       ・
        コンピューターのポリシーの結果セット
        -------------------------------------

       ・

       ・

           アカウント ポリシー
            -------------------
                GPO: GPO名
                    ポリシー:          MaximumPasswordAge
                    コンピューター設定:  90

                GPO: GPO名
                    ポリシー:          MinimumPasswordAge
                    コンピューター設定:  1

    2015年6月12日 9:34

回答

  • oooohです。

    42日変更はDefault Domain Policyの規定値ですが、そっちが優先されてるとか。

    補足:

    クライアント側でnet accounts /domain コマンド打ってみては。

    • 編集済み ooooh 2015年6月12日 9:50
    • 回答の候補に設定 佐伯玲 2015年6月15日 0:33
    • 回答としてマーク sys11 2015年6月16日 1:15
    2015年6月12日 9:45
  • チャブーンです。

    追加したポリシーにパスワードポリシーを設定した場合、適切に設定しないと機能しません。まずは、したのページ(わかりやすいと思います)で、パスワードポリシー(アカウントポリシー)がどのように適用されるのか、確認されてみてはどうでしょうか?

    http://office-qa.com/win/win76.htm


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2015年6月15日 0:33
    • 回答としてマーク sys11 2015年6月16日 1:15
    2015年6月12日 10:01
    モデレータ

すべての返信

  • oooohです。

    42日変更はDefault Domain Policyの規定値ですが、そっちが優先されてるとか。

    補足:

    クライアント側でnet accounts /domain コマンド打ってみては。

    • 編集済み ooooh 2015年6月12日 9:50
    • 回答の候補に設定 佐伯玲 2015年6月15日 0:33
    • 回答としてマーク sys11 2015年6月16日 1:15
    2015年6月12日 9:45
  • チャブーンです。

    追加したポリシーにパスワードポリシーを設定した場合、適切に設定しないと機能しません。まずは、したのページ(わかりやすいと思います)で、パスワードポリシー(アカウントポリシー)がどのように適用されるのか、確認されてみてはどうでしょうか?

    http://office-qa.com/win/win76.htm


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2015年6月15日 0:33
    • 回答としてマーク sys11 2015年6月16日 1:15
    2015年6月12日 10:01
    モデレータ
  • oooohさん、度々申し訳ないです。有難うございます。

    Default Domain Policyは無効化していますし、gpresult /zの結果にそのGPO名がないので

    ここは関係ないと判断して良いかと思いました。

    net accounts/ domainは知りませんでした。

    今はクライアントの調査をできる環境にないので週明けに結果記載させて頂きます。

    2015年6月12日 10:01
  • チャブーンさん

    パスワードポリシーが一番上位の階層以外では適用されないとは知りませんでした。

    gpresultの結果はGPOのものが適用されるため自力では中々気づけなかったと思います。

    かなりひっかけですね。。 有難うございました

    • 編集済み sys11 2015年6月16日 1:22
    2015年6月16日 1:17
  • net accounts/ domainの結果Default Domain Policyの値が入っていました。

    おそらく適用してから無効化したのでタトゥエフェクトだと思います。

    OU単位のGPOで上書けているとおもっていましたがチャブーンさんに頂いた情報の通り

    パスワードポリシーの特性によるもので上書けていませんでした。

    2015年6月16日 1:20