none
ActiveDirectoryパスワード 複雑性を満たし、無期限 とするポリシーへの変更について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    自社のADパスワードポリシーを

    ・6文字以上

    ・90日毎に更新

    ・複雑性を求めない

    から、

    ・8文字以上

    ・パスワード無期限

    ・複雑性を求める

    に変更する予定です。

    この変更で「パスワード無期限」にしてしまうと、変更後のポリシーは適用されても、現状のパスワードから変更しなくてよく、複雑性も文字数も変更後のポリシーを満たさないままでよい事になってしまうでしょうか?

    そうである場合、どのような手順でパスワードポリシーを適用していけばよいでしょうか?

    → いったん、全員に強制的に「ユーザーは次回ログイン時にパスワード変更が必要」を行うようにすればよい 等。

    ------------- Takaaki Deto

    2018年7月3日 9:32
    |

回答

  • Question
    サインインして投票
    3
    サインインして投票

    チャブーンです。

    この件ですが、基本的には、以下の2つの中から選択することになると思います。

    • 「ユーザーは次回ログオン時にパスワード変更が必要」にチェックを入れる
      全ユーザーに即座に新しいパスワードポリシーに添ったパスワードを強制できますが、ユーザーから反発が出る可能性はあります。ですが、遅かれ早かれ変えなければならないなら、シンプルな解決方法かと思います。
    • パスワードポリシー適用を2段階にする
      パスワードポリシーのうち「パスワード無制限」だけ最初は適用せず、ユーザーが新しいパスワードに切り替えたタイミングで、このポリシーを追加します。こうすればユーザーからの反発はないでしょう。ただ管理者側の作業が増えてしまう部分があり、これは仕方ないと思います。

    ユーザーパスワード期限を一覧的に見たい場合、したのスクリプトを使うといいように思います。

    https://4sysops.com/archives/obtaining-the-password-expiry-date-with-powershell/

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2018年7月3日 15:46
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    3
    サインインして投票

    チャブーンです。

    この件ですが、基本的には、以下の2つの中から選択することになると思います。

    • 「ユーザーは次回ログオン時にパスワード変更が必要」にチェックを入れる
      全ユーザーに即座に新しいパスワードポリシーに添ったパスワードを強制できますが、ユーザーから反発が出る可能性はあります。ですが、遅かれ早かれ変えなければならないなら、シンプルな解決方法かと思います。
    • パスワードポリシー適用を2段階にする
      パスワードポリシーのうち「パスワード無制限」だけ最初は適用せず、ユーザーが新しいパスワードに切り替えたタイミングで、このポリシーを追加します。こうすればユーザーからの反発はないでしょう。ただ管理者側の作業が増えてしまう部分があり、これは仕方ないと思います。

    ユーザーパスワード期限を一覧的に見たい場合、したのスクリプトを使うといいように思います。

    https://4sysops.com/archives/obtaining-the-password-expiry-date-with-powershell/

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2018年7月3日 15:46
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん、ご回答、ありがとうございました。

    反発を買わない、後者での対応を検討したいと思います。

    ------------- Takaaki Deto

    2018年7月3日 23:54
    |