Active Directory ドメインユーザーのアカウントポリシー(2/3)
- 「ネットワーク構築のためのヒントと技術解説集」一覧へ
- 1. すべてのドメインユーザーに適用する場合(ドメインのグループポリシー)
- 2. 一部のユーザーやグループに適用する場合(FGPP)
- 3. RADIUSサーバーで認証される時だけ適用する場合(レジストリの直接変更)
●2. 一部のユーザーやグループに適用する場合(FGPP)
Windows Server 2000/2003のActive Directoryでは、ドメインユーザーのアカウントポリシーはドメイン単位でしか定義できず、同じドメインのユーザーには同じパスワードポリシーが適用されていました。
Windows Server 2008になると、「細かい設定が可能なパスワードポリシー(FGPP:Fine-Grained Password Policy)」という機能がサポートされ、ユーザーやグループに対して異なるアカウントポリシーが割り当てられるようになりました。ただし、Windows Server 2008では設定のためのわかりやすいGUIが用意されていなかったという問題がありました。Windows Server 2012では、管理ツール[Active Directory管理センター]を使って、簡単にFGPPが設定できるようになりました。
「1」のドメインのグループポリシーとFGPPを設定した場合は、FGPPのほうが優先されるため、「1」のドメインのグループポリシーでドメインユーザーに対するアカウントポリシーを定義し、例外のアカウントポリシー設定をFGPPで行うことができます。以下に、FGPPの設定方法を紹介します。
Windows Server 2008になると、「細かい設定が可能なパスワードポリシー(FGPP:Fine-Grained Password Policy)」という機能がサポートされ、ユーザーやグループに対して異なるアカウントポリシーが割り当てられるようになりました。ただし、Windows Server 2008では設定のためのわかりやすいGUIが用意されていなかったという問題がありました。Windows Server 2012では、管理ツール[Active Directory管理センター]を使って、簡単にFGPPが設定できるようになりました。
「1」のドメインのグループポリシーとFGPPを設定した場合は、FGPPのほうが優先されるため、「1」のドメインのグループポリシーでドメインユーザーに対するアカウントポリシーを定義し、例外のアカウントポリシー設定をFGPPで行うことができます。以下に、FGPPの設定方法を紹介します。
①[チャーム]バー
【1】ドメインコントローラーでAdministratorとしてサインインし、管理ツール[サーバーマネージャー]を起動します。
【2】[ツール]-[Active Directory管理センター]を選択し、Active Directory管理センターを起動します。
【3】[ドメイン名(ローカル)]-[system]-[Password Settings Container]をクリックします。
その後、[タスク]にある[新規]-[パスワードの設定]をクリックします。
【4】パスワードの設定の作成]ウインドウが表示されます。
赤い*マークが付いている項目は、入力が必須とされています。
各項目には次の意味があります。
※ ほとんどの値は、「1」のドメインのアカウントポリシーの設定と同じですが、項目名が異なっているため重複している項目ももう一度説明します。
| 項目 | 説明 |
|---|---|
| 名前 | このポリシーの名前です。 |
| 優先順位 | 値が小さいほど優先されます。たとえば、同じユーザーに2つのポリシーが割り当てられた場合、優先順位の値が小さい方のポリシーが優先して適用されます。 |
| パスワードの最小の長さを 適用する |
最短パスワード長を指定します。 |
| パスワードの履歴を記録する | 過去にユーザーが使用したパスワードの履歴を覚えておき、同じパスワードを使えないようにするため機能です。この設定をオフにすると、パスワードを定期的に変更するようにユーザーに強制しても、同じパスワードを再設定し続けることがきるようになるためセキュリティレベルが下がります。 |
| パスワードは要求する 複雑さを満たす |
パスワード変更時に、以下の要件を満たすパスワード以外は受け付けなくなります。
文書番号:2617632「"複雑さの要件を満たす必要がある"を有効にしてもパスワードの長さを6文字以上にする必要が無い」 |
| 暗号化を元に戻せる状態で パスワードを保存する |
リモートアクセスなどでCHAP認証を使用する場合に選択します。 通常はこのオプションを選択する必要はありません。 |
| 誤って削除されないように 保護する |
このオプションを有効にすると、オフにするまでこのポリシーを削除できなくなります。 |
| 最小パスワード有効期間を 適用する |
パスワードを変更したときに、次にパスワード変更ができるようになるまでの期間です。この値を0にすると、仮に[パスワードの履歴を記録する]で過去に利用したパスワードを10個まで記憶しておき、同じパスワードを10回変更するまで再利用できないように設定しても、その場で10回以上パスワードを変更して履歴をクリアし、最終的に前日まで使用していたパスワードを設定しなおすことで常に同じパスワードを使用することをユーザーに許してしまいます。このため、[パスワードの履歴を記録する]を有効にした場合はこのオプションも0以外の値を設定しましょう。 |
| 最大パスワード有効期間を 適用する |
パスワードを利用できる期間です。この期間を過ぎるとパスワード変更が必要になるため、ユーザーにパスワード変更を強制できます。 |
| 許可される失敗したログオン 試行回数 |
パスワードを間違えたために、ログオンに失敗した回数の上限値を指定します。次の[失敗したログオン試行回数のカウントがリセットされるまでの時間(分)]で指定された時間内に、このオプションで設定した回数に達すると、アカウントがロックアウトされ利用できなくなります。 |
| 失敗したログオン試行回数の カウントがリセットされる までの時間(分) |
上の[許可される失敗したログオン試行回数]をカウントする時間です。このオプションで指定された時間が経過すると、ログオン試行回数のカウントがリセットされます。 |
| アカウントはロックアウト されます |
アカウントがロックアウトされた時に、どの程度ロックアウトの状態を維持するかを指定します。自動的にロックアウトを解除する場合は[期間]でロックアウトが解除されるまでにかかる時間を指定します。[管理者が手動でアカウントのロックを解除するまで]を選択すると、アカウントのロックアウトを管理者が手動で解除するまでロックアウト状態が維持されます。 |
| 説明 | このポリシーの説明を入力します。 |
【5】次に、ユーザーやグループを指定するため、[追加]をクリックします。
【6】[選択するオブジェクト名を入力してください:]にユーザー名やグループ名を入力し、[名前の確認]をクリックします。その後、[OK]をクリックします。
【7】[OK]をクリックします。
One Point ロックアウトされたアカウントを解除する方法
アカウントロックアウトポリシーによってロックアウトされたアカウントは、ロックアウト期間が経過すればロックアウトは解除されます。ただし、ロックアウト期間よりも早く解除したい場合や、[管理者が手動でアカウントのロックを解除するまで]を選択した場合は、管理ツール[Active Directory管理センター]でロックアウトされたユーザーを選択し、[ロック解除]をクリックします。
解説トレーナー
Cisco / ネットワーク 担当 山口 希美
