ここからは、PSOの作成から適用までの手順を解説しよう。
まずは、「Active Directory管理センター」の画面左にあるナビゲーションペインで、「<ドメイン名>」→「System」→「Password Settings Container」の順に展開する。「Password Settings Container」はPSOが格納される場所であり、既定では中身は空だ。ここで、画面右にある「タスク」から「新規」→「パスワードの設定」の順にクリックすることで、PSOの作成画面にすることができる。
作成画面で「*(赤いアスタリスク)」が付いているのは、必須の入力項目だ(画面3)。「優先順位」は、複数のPSOの適用対象となる場合に使われる「競合解決のための設定値」で、「1」にすると最も優先順位が高くなる。
各チェックボックスに関しては、通常のグループポリシーを設定するパスワードポリシーやアカウントロックアウトポリシーの項目と同等であるため、迷うことはないだろう。
設定画面の下には「直接の適用先」という項目がある。ここで、PSOをどのユーザーまたはグループ(グループの種類は「グローバル」のみ)に適用するかを指定する。ここでの注意点は、最小適用単位だ。通常のグループポリシーはOUが最小適用単位になるが、PSOは「ユーザーまたはグループ単位」になるということ。OUにPSOを直接適用することはできない。あるOUの全ユーザーにPSOを適用したい場合は、あらかじめPSO用にグローバルグループを作成して、特定のOUの全ユーザーをグループのメンバーに追加しておこう。
PSOはユーザーまたはグループ単位で適用先を指定していくが、適用対象に指定されたユーザーまたはグループには、グループポリシーのパスワードおよびアカウントロックアウトポリシーではなく、PSOで定義した内容が適用される。
また、ユーザーが特定のグループのメンバーになっているという前提で、ユーザーに適用されるPSOとグループに適用されるPSOの両方の適用対象に含まれる場合には、ユーザーに適用されるPSOが優先される。最終的にどのPSOが適用されるのか、またはPSOではなくドメインのグループポリシーの定義内容が適用されるのかをまとめると以下のようになる。
優先順位 | 適用されるパスワードおよびロックアウトポリシー |
---|---|
1 | ユーザーに適用されるPSO |
2 | グループに適用されるPSO |
3 | (上記のどちらの適用対象にも含まれない場合)ドメインのグループポリシー |
もし、同じレベルの複数のPSOの適用対象に含まれる場合には、上記の設定で紹介した「優先順位」で指定された数値によって判定される。そのため、1人のユーザーアカウントに対して複数のPSOが同時に適用されることはない。そして、どのPSOの適用対象にも含まれないユーザーは、ドメインのグループポリシー(既定では「Default Domain Policy」)のアカウントポリシーの内容が適用される。つまり、一般的なユーザーアカウントに対するパスワードおよびロックアウトポリシーはドメインのグループポリシーで構成し、より強度な構成を必要とするユーザーアカウントに対してはPSOで対応するとよい。
PSOの構成を終えた上で、特定のユーザーに対してどのPSOが適用されるのか、もしくはドメインのグループポリシーの定義内容が適用されるのかは、「Active Directory管理センター」で確認できる(画面4)。
「Active Directory管理センター」で確認したいユーザーアカウントのプロパティを開き、画面左から「拡張」をクリックして「属性エディター」タブに移動する。その一覧に表示される「msDS-ResultantPSO」項目を確認するのだが、既定では非表示になっているため「フィルター」から「構築済み」を選択して表示されるようにする。「msDS-ResultantPSO」に値が入っていればそのPSOが適用され、空欄の場合にはドメインのグループポリシーの定義内容が適用されるということが分かる。
今回は、アカウントポリシーを環境に合わせて柔軟に構成する方法を紹介した。アカウントポリシーとPSOを組み合わせることで、組織のルールに基づいたアカウント管理が実現できる。ただし、これまで本連載で紹介してきたグループポリシーとは少し異なる性質のため、十分にテストしてから本番環境で利用してほしい。
株式会社ソフィアネットワークに所属。2009年よりマイクロソフト認定トレーナーとして、Windowsを中心としたサーバおよびクライアント管理、仮想化技術に関するトレーニングを提供している。無類の猫好き。共同執筆者である国井家で飼われている猫に夢中。
Copyright © ITmedia, Inc. All Rights Reserved.