none
パスワードポリシーが適用されません RRS feed

  • 質問

  • はじめてまして。

    ドメイン環境でパスワードの長さを設定したいのですがユーザーへ反映されません。

    サーバーはWindows2008server、クライアントはWindows7です。

    1.グループポリシーの管理よりdefault domain policyの編集よりアカウントポリシー内のパスワードの長さを7に変更

    2.ADユーザーとコンピューターより「ユーザーは次回ログオン時にパスワード変更が必要」にチェック

    3.対象ユーザーのPCをリブート

    4.ログイン後すぐパスワードを変更する画面に移行するが7文字以内でも変更可能

    確認する項目をご教示ください。
    • 編集済み sabaryman 2014年1月31日 1:57
    2014年1月31日 1:47

すべての返信

  • ドメインコントローラ(DC)上で、gpresult /z を実行していただき「MinimumPasswordLength」の長さをご確認ください。
    ポリシーを変えたばかりで、DCにしみていなかったということはありませんか?

    ポリシー:          MinimumPasswordLength
    コンピューター設定:  7


    2014年1月31日 8:34
    モデレータ
  • chuki様

    ご返信いただきありがとうございます。

    早速DC上でgpresult /z を実行して「MinimumPasswordLength」を検索いたしましたが、

    見つかりませんでした。。。

    小生初心者なのであまり詳しくありませんが、

    ポリシーを変えた後すぐには反映されず、コマンドかなにか必要でしょうか?

    2014年2月3日 7:34
  • 既定では、複製間隔は5分で適用される間隔も5分です。

    ■ドメインコントローラどおしの複製を強制する
    GUIではActive Directory サイトとサービスを利用下さい。
    コマンドが好ましい場合、repadminをご利用ください。

    repadminコマンドでドメイン・コントローラを手動で同期させるhttp://itpro.nikkeibp.co.jp/article/COLUMN/20080305/295463/

    ■各コンピュータに適用されているGPOを強制更新する

    ヒント: グループ ポリシーの更新を理解して手動で実行する
    http://technet.microsoft.com/ja-jp/windowsserver/ws2k8_tips45.aspx

    2014年2月4日 4:51
    モデレータ
  • chuki様

    ご返信いただきありがとうございます。

    DC間の複製については問題ないようですが、まだパスワードの変更が7文字以内で出来てしまっている状況です。

    グループポリシーの管理よりdefault domain policyの編集よりアカウントポリシー内のパスワードの長さは7になっています。)

    基本的に手順として他にしておかなくてはならないことがあるのでしょうか?

    2014年2月4日 6:30
  • ドメインコントローラーは何台ですか?
    GPRESULT /Zの結果でDefault Domain Policyは「適用されたグループポリシーオブジェクト」の一覧に入っていますか?Default Domain Policyが「有効」以外になっていませんか?
    各ドメインコントローラではイベントビューアに複製やADのログが何か残っていませんか?
    ユーザーさんはログインの際、正しくドメイン名とユーザー名を記載していますか?

    GPUPDATE /FORCE
    GPRESULT /Z
    両コマンドを打ってDefault Domain Policyが適用されていないのであれば、なにがしかエラーが出ているはずですのでご確認ください。
    2014年2月4日 7:07
    モデレータ
  • DCは2台です。

    グループポリシーの管理よりグループポリシーの結果にて対象PCのデータを収集してもパスワードのポリシーはあたっています。

    GPRESULT /Zを実行すると「ユーザーの設定」でDefault Domain Policyは有効となっています。

    イベントビューワも確認いたしましたがエラーはありませんでした。

    ※「アプリケーションとサービスログ」-「Microsoft」-「Windows」-「GroupPolicy」-「Operational」

    基本的に下記手順以外にサーバー側で他にしなくてはならないことがあるのでしょうか?

    1.グループポリシーの管理よりdefault domain policyの編集よりアカウントポリシー内のパスワードの長のポリシーを変更

    2.ADユーザーとコンピューターより「ユーザーは次回ログオン時にパスワード変更が必要」にチェック

    PC側からもgpupdate等実行してから数日たってますが適用されません。

    • 編集済み sabaryman 2014年2月5日 1:59
    2014年2月5日 1:32
  • >GPRESULT /Zを実行すると「ユーザーの設定」でDefault Domain Policyは有効となっています。

    アカウントポリシーは「コンピューターの設定」になります。
    OUなどでDefault Domain Policyをブロックしていませんか?

    DCを置いているOUの設定を再度ご確認ください。

    GPOの適用に失敗しているのであれば、エラーログが出ていると思われますためご確認ください。

    2014年2月5日 2:01
    モデレータ
  • GPOは全部で3つあり

    Default Domain Controllers PolicyPolicy

    Default Domain Policy

    WMI

    とあります。

    WMIへ同じようにパスワードポリシーを設定すればうまくいきそうな感じです。(明日にでも試してみます。)

    ただOUでブロックと言われてもOU自体特に作成していないのでどこでブロックしているのかがわかりません。

    しかし、なぜ「グループポリシーの結果」でPCの情報を収集して確認するとパスワードポリシーがあたっているように見えるのでしょうか?

    2014年2月5日 2:50