• 締切済み
  • 困ってます

ドメインユーザにパスワード有効期限を設定したい

はじめまして。 ActiveDirectoryにてドメインユーザの管理をしています。 グループポリシーにて、ドメインユーザに下記の設定を適応したいと考えています。 ・ユーザのパスワード有効期限を半年に設定 ・数日前にパスワード変更を促すメッセージを表示させる ・パスワードの文字数は8文字以上とする ・過去3回とは同じパスワードにできない PCにはポリシーを適応できましたが、ユーザにポリシーを適応できず困っています。 回答よろしくお願い致します。

共感・応援の気持ちを伝えよう!

みんなの回答

  • 回答No.2
  • maesen
  • ベストアンサー率81% (646/790)

>PCにはポリシーを適応できましたが、ユーザにポリシーを適応できず困っています。 何を見てこのように判断されましたか? 実際にアカウントポリシーが設定通りにならないということでしょうか? たとえば、 >・パスワードの文字数は8文字以上とする としているのに、8文字未満のパスワードを設定出来てしまうということでしょうか? Active Directoryのアカウントポリシー(パスワードポリシーをもちろん含みます)は結果的に全てのユーザーアカウントが影響を受けますが、「コンピュータの構成」に対するポリシーです。 そのため、ユーザーに対するポリシーの設定を検索してもアカウントポリシーの内容は出てこないと思います。 それとも、別の方がリンクされているように「細かい設定が可能なパスワードポリシー」を設定しようとしているのでしょうか。 こちらはちょっと話が変わってきますが。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

>PCにはポリシーを適応できましたが、ユーザにポリシーを適応できず困っています。 GPOを作成・適応後、PCのローカルポリシーがその通り変わっていたためです。 しかし、ドメインユーザのパスワード有効期限は適応されておらず、ローカルポリシーのみに適応されたと分かりました。 下記の事象が判明したので、その通り設定したいと思います。 ・ドメインへ適用したいパスワードポリシーは「Default Domain Policy」にて設定する ・原則、1ドメインにつき1パスワードポリシーであること アドバイス、ありがとうございました。

  • 回答No.1
  • e3tatsu
  • ベストアンサー率51% (78/151)

グループポリシーオブジェクトのリンク先は合っていますか?

参考URL:
http://itpro.nikkeibp.co.jp/article/COLUMN/20080118/291378/

共感・感謝の気持ちを伝えよう!

関連するQ&A

  • WindowsXPのパスワード有効期限

    WindowsXP端末で、パスワードの有効期限を設定したいと考えています。 [コントロールパネル]  -[管理ツール]   -[ローカルセキュリティポリシー] を開いて、パスワードの有効期限(7日)を設定しましたが、期限を過ぎてからログインしても、パスワード変更をうながされません。 ActiveDirectoryサーバやNTドメインのサーバも設置していません。 何か設定を誤っているのでしょうか?

  • ドメインユーザのパスワード設定時のエラー

    いつもお世話になっております。 Server2003で新規にADを構築し、ユーザの登録作業を行っております。 ユーザのパスワード設定時にエラーが出ます。 エラー:パスワードポリシーの要件を満たしていません ドメインコントローラセキュリティポリシーのパスワードポリシーで パスワードの長さ5文字以外が定義していません。 ドメインセキュリティポリシーのパスワードポリシーは全て未定義です。 パスワードは小文字の英字+半角数字です。 何が原因でしょうか?

  • ADサーバのクライアントPCのパスワードで、有効期限の何日か前に変更を催促する設定が有効にならない

    ADサーバで構築したドメインに参加しているクライアントPCのパスワードに有効期限を設定しました。 また、有効期限の何日前にパスワード変更を催促するかの設定も行いました。 以下の設定を行いました。 <パスワード有効期限の設定> 1.Default Domain Policyの編集で、グループポリシーオブジェクトエディターを開きます。 2.「コンピュータの構成」→「Windowsの設定」→「セキュリティの設定」→「ローカルポリシー」→「パスワードのポリシー」 3."パスワードの有効期限"を10日間に設定 <パスワード変更事前催促の設定> 1.Default Domain Policyの編集で、グループポリシーオブジェクトエディターを開きます。 2.「コンピュータの構成」→「Windowsの設定」→「セキュリティの設定」→「ローカルポリシー」→「セキュリティオプション」 3."パスワードが無効になる前にユーザに変更を促す"を3日前に設定 以上の設定で、クライアントPCのパスワードをまず変更しました。 その後、再ログインを試みると 「パスワード有効期限まであと9日です。パスワードを変更しますか?」 というメッセージが表示されます。 ADサーバの再起動や、当該クライアントPCを再起動しても、同様のメッセージがでます。 上記設定から7日経過した後に催促メッセージが出るべきだと思うのですが。。 どのようにしたら、催促メッセージを有効にできるのでしょうか?

  • ドメインパスワードの有効期限

    こんにちわ、よろしくお願いします。 NTドメイン環境下での、アカウントのパスワードの有効期限についての質問です。 例えば、ドメインアカウントの原則でパスワードの有効期限を設定してあり、アカウントをロックアウトする、という設定にしてあったとします。 このようなドメイン環境下で、パスワードの有効期限が無期限になっていないユーザーが、期限内にパスワードの変更をしないで、有効期限が切れた後、ログオンしようとすると、どういう動作になるのでしょうか? 今までのパスワードでログオンし、パスワードの変更を要求されるだけなのでしょうか? それとも、もうそのパスワードは使えずにロックされてしまうのでしょうか? ご存知の方、教えてください。

  • ドメインユーザーへのアカウント有効期限切れ通知

    お世話になります。 ドメインにログインしているユーザーに対してアカウント有効期限が切れる数日前に通知するような設定は可能でしょうか? パスワードの有効期限切れ通知はポリシーでできるようなのですが、アカウント有効期限切れについては解りませんでした。 宜しくお願い致します。

  • ローカル(administrator)のパスワードの有効期限について

    お世話になります。ひとつ疑問があります。 WindowsXP ProのPCで、 (1)マイコンピュータ右クリック→管理→ローカルユーザーとグループ→「ユーザー」のフォルダをダブルクリック→Administratorのところで右クリック→プロパティ のところで、「パスワードを無期限にする」にチェックをつけて、適用している状態なのに、 (2)[コントロール パネル]→[パフォーマンスとメンテナンス]→[管理ツール] →[ローカル セキュリティ ポリシー]→{アカウント ポリシー]の[+]をクリックしてフォルダを開き、[パスワードのポリシー]→ [パスワードの有効期間]のところが42日になっています。 ここは「0」を選ぶと、パスワードが無期限になるそうです。 これはどちらの設定画面も((1)と(2))無期限になるように設定しなくてはいけないのでしょうか?どちらか一方でいいのでしょうか?どなたか詳細に教えていただける方、お待ちしております。

  • ドメインアカウントの原則のパスワードの有効期限設定

    こんにちわ、よろしくお願いします。 NTドメイン環境下でのアカウントのパスワードの有効期限についての質問です。 現在パスワードの有効期限設定無しで運用中のNTドメイン環境下で、 パスワードの有効期限を設定すると、既存ユーザーについては即時変更要求がかかるのでしょうか。 それとも設定した日から、有効期限日数経過後、変更要求がかかるのでしょうか。 ご存知の方、教えてください。

  • 安易なパスワードを設定しているNTドメインユーザを抽出したい

    職場のサーバ管理を任されている者です。 サーバはWindows2000サーバで、Windowsクライアントからドメインに参加しています。 ドメインユーザで安易なパスワードを設定している場合に個別に警告を出したいのですが、安易なパスワードを設定しているドメインユーザを抽出する手段はありますか? なお安易なパスワードとは、passとかpasswordとか、ユーザIDと同じパスワードなどを指します。

  • ドメインユーザーのパスワードを変えられない方法

    ドメインユーザーのパスワードを変えられない方法 ある企業の管理者しています。 会社のユーザーは全てXP、ADにぶらさがっています。 諸事情で、一定期間ユーザーにパスワードを変えて欲しくありません。 (あるシステムに移行しています。移行が終わるまで変えて欲しくありません。) いろいろパスワードを強制的に変えられないか調べていますが、なかなか今の運用方法にあった方法がありません。 下記の方法は除きます。 (1)「管理」-->「ローカルグループとユーザー」-->「ユーザー」 ここでパスワードを変えられなくできるのは、ローカルユーザーなのでこのやり方は対象外です。 (2)ADのサーバーの「ユーザーはパスワードを変更できない」にチェック http://www.hyperdyne.co.jp/win2000/special_report/2000-07/07.htm このやり方で「ユーザーはパスワードを変更できない」にチェック入れる。 当然この方法を試しました。この方法だと新しいシステムに移行するにあたって支障がありますので対象外です。 理由は割愛させて下さい。 (3)gpedit.msc-->「ユーザーの構成」-->「管理テンプレート」-->「システム」-->「Ctrl+Alt+Delオプション」 ここの「パスワード変更を削除する」を”有効にする”、この方法を見つけました。 ユーザーはCtrl+Alt+Delを押すと、パスワードを変更するがグレーアウトになります。 「これだ!!」と思ったのですが、ADユーザーはログイン時、パスワード有効期限が近づきますと、「あと○○日でパスワードの有効期限が切れます。パスワードを変えますか?『はい』『いいえ』」のアラートが表示されます。 この時『はい』を選んでしまうと、パスワードを変えられてしまうので、この方法もNGです。 (4)下記の方法がベストなんですが、XPがSP3になったせいか、このチェックボックスがありません。 http://homepage2.nifty.com/winfaq/w2k/hints.html#1120 以上他にありませんでしょうか? 今思いました。 (3)を"有効"にします(この時点でユーザー自らの意思でパスワードは変えられません。)、かつ「あと○○日でパスワードの有効期限が切れます。パスワードを変えますか?」このアラートの『はい』もグレーアウトにしてしまう方法があればベストです。 そんな方法ありますでしょうか。 教えて下さい。

  • windows2003でのドメインのパスワードセキュリティポリシーについて

    windows2003でドメインサーバーを構築しました。 管理ツールの「Active Drectory ユーザーとコンピュータ」で ユーザを追加しようとしたところ、パスワードがセキュリティポリシー の要件を満たせないとのことでエラーとなりました。 私が入力したパスワードが単純すぎたようです。 そこで「既定のドメインコントローラセキュリティの設定」で アカウントポリシー>パスワードのポリシー、にて全ての ポリシーを未定義にしました。 これでパスワードがブランクにすることも可能になるはずです。 しかし相変わらずユーザーの追加時に複雑なパスワードを求められます。 OSを再起動しましたが、状況は変わりませんでした。 これはOSの不具合なのでしょうか。 それとも別のセキュリティポリシーを設定する必要があるのでしょうか?