WindowsServer2003SEのドメイン環境です。
所内各ユーザにパスワードを変更してもらう為、ユーザの「次回ログイン時にパスワード変更が必要」に
チェックを入れました。
このチェックに対しては正常に動作しています。
しかし、パスワードポリシーが思ったように動作しておりません。
リンクされたGPOやGPOの継承タブは以下の設定となっています。
○弊社ドメイン
リンクされたGPO:"DefaultDomainPolicy"
GPOの継承:"DefaultDomainPolicy"
○ユーザがあるOU"A"
リンクされたGPO:"A"
GPOの継承:①"A"
②"DefaultDomainPolicy"
「パスワードの長さ」が設定した値以下でも使用できてしまう、
上記の例で言うと、GPO"A"の設定内容通り動作していないのです。
調査していたところ、アカウントポリシーは"DefaultDomainPolicy"の
設定のみが反映され、作成したOUで設定しても反映されないと書かれている
ページを見つけました。
確認事項
1.見つけたページの記述通り、"DefaultDomainPolicy"で設定するという
ことなのでしょうか。
確かに"DefaultDomainPolicy"の設定通り動作していますが…。
2.別のページでは、"DefaultDomainPolicy"はやたら設定変更することは
好ましくなく別途OUを作成し設定していく方が好ましいとの記述も見つけました。
明らかに1と矛盾しているのですが、これはアカウントポリシー以外の部分に
関することで、あくまでアカウントポリシーは"DefaultDomainPolicy"で
設定する必要があるという認識で良いのでしょうか。
3.1・2を併せて考えますと、ユーザがあるOUではなくドメインに対して新たに
GPOを作成すると反映されるのではないかと思ったのですが、反映されないのですよね。
4.クライアントのローカルポリシーを確認したところ、GPO"A"の設定が反映されて
おり、確認で別のOUのクライアントも確認したところ、所属しているOUの設定に
なっていました。
よって、作成したOUの設定はローカルユーザに対して反映されるもので、
ドメインユーザの対しては1の通り"DefaultDomainPolicy"で設定する必要がある
という認識で良いのでしょうか。
一応、つじつまは合うのですが、本番サーバのみで評価環境がなく、設定変更して評価作業ができませんので
確認させて頂きたいです。
明確に書かれているHPは本など根拠があれば良いのですが。
よろしくお願い致します。
