「アカウントポリシー」でユーザーのパスワード設定を定義する基礎から分かるグループポリシー再入門(20)(3/3 ページ)

» 2016年06月10日 05時00分 公開
[新井慎太朗株式会社ソフィアネットワーク]
前のページへ 1|2|3       

PSOの作成から適用までの手順

 ここからは、PSOの作成から適用までの手順を解説しよう。

 まずは、「Active Directory管理センター」の画面左にあるナビゲーションペインで、「<ドメイン名>」→「System」→「Password Settings Container」の順に展開する。「Password Settings Container」はPSOが格納される場所であり、既定では中身は空だ。ここで、画面右にある「タスク」から「新規」→「パスワードの設定」の順にクリックすることで、PSOの作成画面にすることができる。

 作成画面で「*(赤いアスタリスク)」が付いているのは、必須の入力項目だ(画面3)。「優先順位」は、複数のPSOの適用対象となる場合に使われる「競合解決のための設定値」で、「1」にすると最も優先順位が高くなる。

画面3 画面3 「Active Directory管理センター」のPSO作成画面。「*(赤いアスタリスク)」は必須の入力項目

 各チェックボックスに関しては、通常のグループポリシーを設定するパスワードポリシーやアカウントロックアウトポリシーの項目と同等であるため、迷うことはないだろう。

 設定画面の下には「直接の適用先」という項目がある。ここで、PSOをどのユーザーまたはグループ(グループの種類は「グローバル」のみ)に適用するかを指定する。ここでの注意点は、最小適用単位だ。通常のグループポリシーはOUが最小適用単位になるが、PSOは「ユーザーまたはグループ単位」になるということ。OUにPSOを直接適用することはできない。あるOUの全ユーザーにPSOを適用したい場合は、あらかじめPSO用にグローバルグループを作成して、特定のOUの全ユーザーをグループのメンバーに追加しておこう。

適用されるPSOとその確認方法

 PSOはユーザーまたはグループ単位で適用先を指定していくが、適用対象に指定されたユーザーまたはグループには、グループポリシーのパスワードおよびアカウントロックアウトポリシーではなく、PSOで定義した内容が適用される。

 また、ユーザーが特定のグループのメンバーになっているという前提で、ユーザーに適用されるPSOとグループに適用されるPSOの両方の適用対象に含まれる場合には、ユーザーに適用されるPSOが優先される。最終的にどのPSOが適用されるのか、またはPSOではなくドメインのグループポリシーの定義内容が適用されるのかをまとめると以下のようになる。

優先順位 適用されるパスワードおよびロックアウトポリシー
1 ユーザーに適用されるPSO
2 グループに適用されるPSO
3 (上記のどちらの適用対象にも含まれない場合)ドメインのグループポリシー

 もし、同じレベルの複数のPSOの適用対象に含まれる場合には、上記の設定で紹介した「優先順位」で指定された数値によって判定される。そのため、1人のユーザーアカウントに対して複数のPSOが同時に適用されることはない。そして、どのPSOの適用対象にも含まれないユーザーは、ドメインのグループポリシー(既定では「Default Domain Policy」)のアカウントポリシーの内容が適用される。つまり、一般的なユーザーアカウントに対するパスワードおよびロックアウトポリシーはドメインのグループポリシーで構成し、より強度な構成を必要とするユーザーアカウントに対してはPSOで対応するとよい。

 PSOの構成を終えた上で、特定のユーザーに対してどのPSOが適用されるのか、もしくはドメインのグループポリシーの定義内容が適用されるのかは、「Active Directory管理センター」で確認できる(画面4)。

画面4 画面4 ユーザーに適用されるPSOは「Active Directory管理センター」で確認できる

 「Active Directory管理センター」で確認したいユーザーアカウントのプロパティを開き、画面左から「拡張」をクリックして「属性エディター」タブに移動する。その一覧に表示される「msDS-ResultantPSO」項目を確認するのだが、既定では非表示になっているため「フィルター」から「構築済み」を選択して表示されるようにする。「msDS-ResultantPSO」に値が入っていればそのPSOが適用され、空欄の場合にはドメインのグループポリシーの定義内容が適用されるということが分かる。

 今回は、アカウントポリシーを環境に合わせて柔軟に構成する方法を紹介した。アカウントポリシーとPSOを組み合わせることで、組織のルールに基づいたアカウント管理が実現できる。ただし、これまで本連載で紹介してきたグループポリシーとは少し異なる性質のため、十分にテストしてから本番環境で利用してほしい。

筆者紹介

新井 慎太朗(あらい しんたろう)

株式会社ソフィアネットワークに所属。2009年よりマイクロソフト認定トレーナーとして、Windowsを中心としたサーバおよびクライアント管理、仮想化技術に関するトレーニングを提供している。無類の猫好き。共同執筆者である国井家で飼われている猫に夢中。


前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

@IT

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。