none
「複雑さの要件を満たす必要があるパスワード」の内容を変更できない RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    Windows Server 2008 R2でActive Directoryを構築しています。

    管理ツール→ローカルセキュリティポリシー→アカウントポリシー→パスワードのポリシー→複雑さの要件を満たす必要があるパスワード

    を有効から無効に変更したいのですが、Active Directoryを構築している状態だとラジオボタンがグレイアウトされている状態になってしまうようで変更できません。
    有効から無効に変更することが良い・悪いという話は別にして、何か変更する方法はありますでしょうか。

    2010年11月2日 5:16
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    >複雑さの要件を満たす必要があるパスワード:有効

    その右側に、どのGPOから割りあてられたかを示す名前が表示されているはずです。
    表示されている名前からgpmc.mscで編集して設定を変更してください。

    #インストール直後ということですから特に何もしていないのでOKであるはずですが、後で見る方の参考のため。
    Windows Server 2008 移行で設定できる「細かい設定が可能なパスワード」を使っている場合はそちらもご確認ください。
    ローカルアカウントは各OUでも制御できるため、OUごとにコンピューターを管理している場合はそちらもご確認ください。

    「ステップ バイ ステップ ガイド - 細かい設定が可能なパスワードおよびアカウント ロックアウトのポリシー設定」
    http://technet.microsoft.com/ja-jp/library/cc770842(WS.10).aspx

    • 回答としてマーク tideinc 2010年11月4日 9:43
    2010年11月4日 6:41
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票
    ADを構築している状態とは、どのような状態でしょうか?2008 R2に移行中ということでしょうか?
    2010年11月2日 5:22
    |
  • Question
    サインインして投票
    1
    サインインして投票

    もしかしてですが、ご自身のパソコンなどから変更されようとしていますか?

    ご質問者様がAD管理者なのか、一般ユーザーなのか存じ上げませんので何とも言えませんが、通常、その辺りの設定はグループポリシー(Default Domain Policy)などで一括管理されていると思います。

    グループポリシーで管理者によって一括管理されている場合、言われているようにグレーアウトして触れない状態になっているのが普通です。

    その辺りをご確認してみてはいかがでしょうか?

    2010年11月2日 5:28
    |
  • Question
    サインインして投票
    0
    サインインして投票
    OSインストール直後の状態で、サーバマネージャーの「役割」からActiveDirectoryドメインサービスを追加し、次にActiveDirectoryドメインサービスインストールウィザード(dcpromo.exe)を立ち上げ、「新しいフォレストに新しいドメインを作成する」、フォレストルートドメインのFQDNは「ad-test.local」、フォレストの機能レベルは「Windows Server 2008 R2」を選択または入力し、他はデフォルトの状態でActiveDirectoryを設定、再起動し、管理者権限でログインした直後の状態です。
    2010年11月2日 5:48
    |
  • Question
    サインインして投票
    2
    サインインして投票

    その状態は既にADが立っている状態だと思います。文面だけ拝見すると触られているコンピュータはDCのようですが、通常、DCに昇格するとローカルセキュリティポリシーはなくなりドメインコントローラセキュリティポリシーになると認識しています。

    Default Domain PolicyやDefault Domain Controllers Policyの設定は確認しましたか?既定では「未定義」となっていますが、DCとメンバコンピュータは未定義=有効の設定となり、複雑さの要件~が有効扱いとなります。

    2010年11月2日 6:19
    |
  • Question
    サインインして投票
    0
    サインインして投票

    Default Domain PolicyやDefault Domain Controllers Policyの設定を確認しましたところ、確かに「複雑さの要件を満たす必要があるパスワード」が未定義な状態になっていましたので、グループポリシー管理エディタ上で無効にしました。
    その他、以下の内容で各ポリシーの設定を変更しました。

    パスワードの長さ:5文字以上
    パスワードの変更禁止期間:0日
    パスワードの有効期間:0
    パスワードの履歴を記録する:0回
    暗号化で元に戻せる状態でパスワードを保存する:無効

    その後、一応念のために再起動して管理者権限でログインし、ログイン直後にCTRL+ALT+DELでパスワード変更画面に入りパスワードを平易なものに変更しようとしたところ、「パスワードを更新できませんでした。新しいパスワードとして指定された値は、パスワードの長さ、複雑さ、または履歴に関するドメインの要件を満たしておりません」というメッセージが出てパスワードを変更できません。

    また、管理ツール→ActiveDirectoryユーザーとコンピュータ上でユーザーを追加する際にパスワードを平易なものを入力すると上と同様にエラーが出てユーザーを登録できません。

    要は各ローカルユーザーのパスワードとActiveDirectoryユーザーのパスワードを平易なものにしたいのです。

    2010年11月2日 9:28
    |
  • Question
    サインインして投票
    0
    サインインして投票

    なんとなく、コマンドプロンプトで

     

    > gpupdate  /force

     

    実行してみてはいかがでしょうか。

     

    2010年11月2日 11:00
    |
  • Question
    サインインして投票
    0
    サインインして投票

    > gpupdate  /force
    > 実行してみてはいかがでしょうか。

    実行みましたが、やはり「パスワードを更新できませんでした。新しいパスワードとして指定された値は、パスワードの長さ、複雑さ、または履歴に関するドメインの要件を満たしておりません」というメッセージが出てパスワードを平易なものに変更できません。

    2010年11月2日 12:14
    |
  • Question
    サインインして投票
    1
    サインインして投票

    さっくりサーバーでGPMC.mscかクライアントでRSoP.mscを実行してグループポリシーの結果を取得し、どのポリシーでパスワードのポリシーが割当たっているかを確認するのが吉かと。

    >各ローカルユーザー
    クライアントでローカルのユーザーとしてログインしてgpresult /vを実行してください
    または、RSoP.mscを実行してください

    >ActiveDirectoryユーザー
    クライアントでADのユーザーでログインしてgpresult /vを実行してください。
    または、RSoP.mscを実行してください

    2010年11月4日 3:33
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    クライアントでADのユーザーでログインしてRSoP.mscを実行しますと、「ポリシーの結果セット」という画面が立ち上がり、「コンピュータの構成」→「Windowsの設定」→「セキュリティの設定」→「アカウントポリシー」→「パスワードのポリシー」を開きますと、

    パスワードの長さ:7文字以上
    パスワードの変更禁止期間:1日
    パスワードの有効期間:42回
    パスワードの履歴を記録する:24回
    暗号化で元に戻せる状態でパスワードを保存する:無効
    複雑さの要件を満たす必要があるパスワード:有効

    という内容が表示され、グループポリシー管理エディタでの表示と異なる内容になりました。
    クライアントでローカルのユーザーとしてログインした場合はまだ試しておりません。

    2010年11月4日 6:23
    |
  • Question
    サインインして投票
    1
    サインインして投票

    >複雑さの要件を満たす必要があるパスワード:有効

    その右側に、どのGPOから割りあてられたかを示す名前が表示されているはずです。
    表示されている名前からgpmc.mscで編集して設定を変更してください。

    #インストール直後ということですから特に何もしていないのでOKであるはずですが、後で見る方の参考のため。
    Windows Server 2008 移行で設定できる「細かい設定が可能なパスワード」を使っている場合はそちらもご確認ください。
    ローカルアカウントは各OUでも制御できるため、OUごとにコンピューターを管理している場合はそちらもご確認ください。

    「ステップ バイ ステップ ガイド - 細かい設定が可能なパスワードおよびアカウント ロックアウトのポリシー設定」
    http://technet.microsoft.com/ja-jp/library/cc770842(WS.10).aspx

    • 回答としてマーク tideinc 2010年11月4日 9:43
    2010年11月4日 6:41
    |
    モデレータ
  • Question
    サインインして投票
    1
    サインインして投票

    どのGPOから割り当てられたかを確認しましたところ、Default Domain Policyになっていました。次にgpmc.mscを実行しましたところ「グループポリシーの管理」が立ち上がりましたので「フォレスト:ad-test.local」→「ドメイン」→「ad-test.local」→「グループポリシーオブジェクト」→「Default Domain Policy」を右クリックして「編集」を選択しました。
    そうするとグループポリシー管理エディタを立ち上がりましたので、「コンピュータの構成」→「Windowsの設定」→「セキュリティの設定」→「アカウントポリシー」→「パスワードのポリシー」の中身を確認しますと、「複雑さの要件を満たす必要があるパスワード」が有効になっていましたので、無効にして画面を閉じ、試しにActiveDirectoryユーザーのパスワードを平易なものにしたところちゃんと変更できました。
    今までどうやらDefault Domain Controllers Policyのほうを編集していたので、「ポリシーの結果セット」と「グループポリシー管理エディタ」の内容が食い違っていて、かつパスワードを平易なものにできなかったようです。

    どうもありがとうございました。

    • 回答としてマーク tideinc 2010年11月4日 9:42
    • 回答としてマークされていない tideinc 2010年11月4日 9:43
    2010年11月4日 9:42
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ずいぶん日がたっていて恐縮ですが、あなたのおかげでたすかりました。とてもお詳しい方ですね、ありがとうございました。

    ------------------ Tulip Marlowe

    2020年3月27日 4:13
    |