ドメインパスワードの有効期限とは?ロックアウトの仕組みとは?
- ドメイン環境では、アカウントのパスワードに有効期限を設定することができます。このため、有効期限が切れた後にログオンしようとすると、パスワードの変更が要求されます。
- しかし、有効期限が切れた後でも以前のパスワードでログオンすることは可能です。その場合、パスワードの変更が要求されますが、アカウントはロックされずに使用できます。
- したがって、有効期限が切れた後にログオンしようとすると、パスワードの変更が必要となりますが、アカウントはロックされません。
- ベストアンサー
ドメインパスワードの有効期限
こんにちわ、よろしくお願いします。 NTドメイン環境下での、アカウントのパスワードの有効期限についての質問です。 例えば、ドメインアカウントの原則でパスワードの有効期限を設定してあり、アカウントをロックアウトする、という設定にしてあったとします。 このようなドメイン環境下で、パスワードの有効期限が無期限になっていないユーザーが、期限内にパスワードの変更をしないで、有効期限が切れた後、ログオンしようとすると、どういう動作になるのでしょうか? 今までのパスワードでログオンし、パスワードの変更を要求されるだけなのでしょうか? それとも、もうそのパスワードは使えずにロックされてしまうのでしょうか? ご存知の方、教えてください。
- directman
- お礼率62% (5/8)
- Windows NT・2000
- 回答数2
- ありがとう数1
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
パスワードの有効期限が切れる前に接続し、セッションが続いたままであれば、その間に期限が切れても大丈夫だと思います。 会社に行けば実験もできますが、自宅ですのでWorkgroupのWin2000Pro2台で試しました。ドメインでの動作とは多少違うかもしれません。 # ここから私の管理者経験としての余談です。 通常は実際の運用環境でそのような場面が出てくるような運用方法を行ないませんけどね。 仮にはねられたとして、少なくとも期限の24時間以内にログオンすれば期限が迫っていることを教えてくれますので、それを無視して24時間以上ログオンし続けたり別のPCからも同じユーザーで複数ログオンすること自体が社内セキュリティポリシーとして問題かと思います。 もし計測や現場ラインでの制御用として長期間の連続ログオンがひつようなのであれば、ドメインのポリシーとしては有効期限を設け、それを適用したくないユーザーは個別に無期限を設定すればいいと思います。
その他の回答 (1)
手元にNT4.0Serverがないので確かではありませんが・・・ パスワードの有効期限とロックアウトは別の項目で関連性はなかったと思いますが? 「有効期限」はそのものズバリ、パスワードに期限を持たせるだけです。 対して「ロックアウト」は無効なパスワード入力が設定回数に達した場合にログインさせなくする機能です。 再度確認してみてください。 つまり、有効期限が切れた場合は「パスワードの有効期限がきれました。新しいパスワードを入力してください」と表示され、新規パスワードを入力するダイアログが表示されるだけだと思います。 ユーザーマネージャで「ユーザーは次回ログオン時にパスワード変更が必要」にチェックしてある状態と同じですね。
関連するQ&A
- ドメインアカウントの原則のパスワードの有効期限設定
こんにちわ、よろしくお願いします。 NTドメイン環境下でのアカウントのパスワードの有効期限についての質問です。 現在パスワードの有効期限設定無しで運用中のNTドメイン環境下で、 パスワードの有効期限を設定すると、既存ユーザーについては即時変更要求がかかるのでしょうか。 それとも設定した日から、有効期限日数経過後、変更要求がかかるのでしょうか。 ご存知の方、教えてください。
- ベストアンサー
- Windows NT・2000
- ADMTでのドメイン移行
ADMTを使用しNTドメインから2003ADへ移行を行ないたいと思っています。 ○環境 移行元ドメインサーバ:NT4.0SP6 Server 移行元ドメインクライアント:XPSP2 移行先ドメインサーバ:2003R2SP1 Server ○質問 ユーザーアカウントの移行をテストしていますが以下のエラーが発生します。 「WRN1:7874 アカウント 'CN=username' の "パスワードを無期限にする" アカウントオプションが無効なりました。」 移行元ドメインではユーザパスワードを無期限に設定しています。ツールでの移行後は無期限のチェックが外れ、ユーザーは次回ログオン時にパスワードの変更が必要にチェックが入ります。パスワードを無期限のまま移行したいのです。エラーの原因が分かれば教えて下さい。 よろしくお願い致します。
- ベストアンサー
- Windows系OS
- AD環境のアカウントのパスワード有効期限の設定はBuiltinのドメインAdministratorにも適用されるのでしょうか?
ADサーバ環境でドメインが構築されています。 ADサーバ:Windows 2003 server ドメイン参加サーバ:Windows 2003 server x5台 クライアントPC:XP Pro x100台 ドメイン名(仮名):ABC.local ・ADのアカウントをクライアントPCユーザ用に100アカウント作成されています。 ・ドメイン参加サーバ5台にはすべて、BuiltinのドメインAdministratorアカウントでログインしています。 ・ABC.localドメイン全体のセキュリティポリシーとして、Default Domain Policyを以下のように編集します。 -パスワードの有効期限=30日 この環境の場合、パスワードの有効期限が適用されるのはクライアントPC用ユーザの100アカウントだけでなく、BuiltinのドメインAdministratorアカウントにも適用されてしまうのでしょうか? クライアント用ユーザ100アカウントのパスワードだけ、変更要求を出したいと思っています。 ドメインAdministratorのパスワードまで変更しなくてもすむような設定、回避方法はありますでしょうか? 教えていただけますと大変助かります。
- ベストアンサー
- その他(ITシステム運用・管理)
- ログインパスワードの有効期限と管理
ドメイン環境下のPCのログオンパスワード 変更履歴を管理したいと思います。 良い方法をご教授いただけますか? 現状は、3か月でアラートを出し、各自に変更してもらい メールで教えてもらっています。 その方法では、かなり問題が多いので ADの設定等でうまく運用したいと考えております。 詳細---- ・パスワードの有効期限は3か月。 ・各自がパスワードを変更。 ・担当者がパスワードの履歴を管理。 ・現在、アカウントの有効期限は無制限です。
- 締切済み
- その他(ITシステム運用・管理)
- ドメインのパスワード設定について
現在、社内で以下の環境でドメインを構築しています。 サーバー:Windows NT Workstation クライアント:WindowsXP Professional ユーザー権限は、administrator権限とPowerUser権限が混在しています。 上司から、セキュリティのためユーザーパスワードをユーサー側で定期的に変更するように、グループポリシーを設定するよう指示がありました。 いろいろとネットを調べたのですが、サーバーの設定に関して知識がかなり疎いため、その方法がわかりませんでした。 サーバーOSが、Windows 2000 Server以上ならば、Active Directoryを導入してパスワードポリシーを変更できるようですが、NTでも同じことができるのでしょうか。 クライアントPCのローカル環境下では、[ctrl]+[alt]+[del]からの「パスワードの変更」も「コンピュータのロック」、スクリーンセーバーのパスワード設置も、グレーアウトのため設定ができない状態です。 お手数ですがご教授下さい。
- 締切済み
- Windows系OS
- ドメインユーザにパスワード有効期限を設定したい
はじめまして。 ActiveDirectoryにてドメインユーザの管理をしています。 グループポリシーにて、ドメインユーザに下記の設定を適応したいと考えています。 ・ユーザのパスワード有効期限を半年に設定 ・数日前にパスワード変更を促すメッセージを表示させる ・パスワードの文字数は8文字以上とする ・過去3回とは同じパスワードにできない PCにはポリシーを適応できましたが、ユーザにポリシーを適応できず困っています。 回答よろしくお願い致します。
- 締切済み
- SE・インフラ・Webエンジニア
- WindowsXPのパスワード有効期限
WindowsXP端末で、パスワードの有効期限を設定したいと考えています。 [コントロールパネル] -[管理ツール] -[ローカルセキュリティポリシー] を開いて、パスワードの有効期限(7日)を設定しましたが、期限を過ぎてからログインしても、パスワード変更をうながされません。 ActiveDirectoryサーバやNTドメインのサーバも設置していません。 何か設定を誤っているのでしょうか?
- ベストアンサー
- Windows系OS
- ドメインユーザーの一括登録・詳細設定
今回、業務で2000アカウントほどドメインに新規で登録することになったのですが、とても手作業で登録できる量ではないので、adduserかnet userでのバッチファイルでの一括登録を考えています。 ですが、上記コマンドだと詳細な設定がちょっと難しい?ように思えます。 今回設定したいのは ・ユーザーのアカウントとパスワード ・特定のユーザーはパスワード期限がなく、ある特定のユーザーはパスワードの有効期限を設定したい。 ・特定のユーザーは初回ログオン時にパスワードの変更が必要だが、特定のユーザーは特に変更しなくてよい(ダイアログを出さない) ・・・というユーザーごとにアカウント&パスワードのポリシーが違うのですが、これらの設定をコマンドから行うことは可能でしょうか?
- 締切済み
- Windows系OS
- パスワードの有効期限
XPProfessionalを使っています。最近、起動するとき、「ユーザーのパスワードはあと○日で有効期限が切れます。パスワードを変更しますか?」というメッセージが出ます。XPをインストールする時、パスワードを設定した覚えはありません。「いいえ」を選択すれば普通にログオンできます。 このパスワードを無効にするにはどうすればいいんでしょうか。
- ベストアンサー
- Windows XP
- ドメインのパスワード設定について
「[技術者向け]コンピューター」-「OS系」-「Windows系OS」でも同じ質問をしたのですが、なかなか回答が得られないんで、こちらでも同じ質問をさせて頂きます。 現在、社内で以下の環境でドメインを構築しています。 サーバー:Windows NT Server クライアント:WindowsXP Professional ユーザー権限は、administrator権限とPowerUser権限が混在しています。 上司から、セキュリティのためユーザーパスワードをユーサー側で定期的に変更するように、グループポリシーを設定するよう指示がありました。 いろいろとネットを調べたのですが、サーバーの設定に関して知識がかなり疎いため、その方法がわかりませんでした。 サーバーOSが、Windows 2000 Server以上ならば、Active Directoryを導入してパスワードポリシーを変更できるようですが、NTでも同じことができるのでしょうか。 クライアントPCのローカル環境下では、[ctrl]+[alt]+[del]からの「パスワードの変更」も「コンピュータのロック」、スクリーンセーバーのパスワード設置も、グレーアウトのため設定ができない状態です。 お手数ですがご教授下さい。
- 締切済み
- Windows NT・2000
補足
早速のご回答ありがとうございます。 しかしながら、質問の仕方が悪かったみたいです。 もう少し具体的な例で質問したいと思います。 まずNTドメイン環境下において、の話です。 NT環境下では複数のマシンに、一つのユーザーアカウントでログオンできます。 今、仮にユーザーdirectmanがマシンAとマシンBにログオンしたとします。 ユーザーdirectmanはマシンAでパスワードの変更を行います。 次に、既にログオンしていたマシンBで、ドメインのリソースにアクセスしようとすると、その事によりアカウントロックがかかってしまいます。(これは実際に動作確認しています) これは、ドメインのリソースにアクセスしようとする時にそのマシンにログオンしているユーザーのIDとパスワードを確認しているから、と認識しております。 さてそこで本題なのですが、具体的な例でお話します。 (1)ドメインユーザーマネージャーで有効期限を10日に設定し、ロックアウトする設定にします。(有効期限はPDCの時計で計っている、という前提にします) (2)10日目のパスワードの有効期限が切れる直前にログオンし、そのままパスワードの有効期限が切れるのを待ちます。 (3)パスワードの有効期限が切れた状態で、ドメインのリソースにアクセスしようとします。(プリンタやらファイルサーバーなど) (4)と、ここでアカウントロックになるのだろうか? という質問に変えさせて頂きます。