「アカウントポリシー」でユーザーのパスワード設定を定義する:基礎から分かるグループポリシー再入門(20)(1/3 ページ)
今回は、グループポリシーの代表的な設定の1つである「アカウントポリシー」を、「グループポリシーの管理」と「Active Directory管理センター」で柔軟に構成する方法を紹介する。
アカウントポリシーとは?
「アカウントポリシー」は、ユーザーアカウントのパスワードに関する設定などを定義するグループポリシー項目の1つだ。例えば、アカウントポリシーでは以下のような項目を定義できる。
- ユーザーアカウントのパスワードに使用できる最少文字数
- 同一のパスワードを使い続けることができる期間
- アカウントをロックアウトするまでの試行回数(しきい値)とロックアウト期間
つまり、アカウントポリシーを簡単に説明すると「ユーザーのパスワードやロックアウトについてのルールを定義する場所」ということになる。上記の設定項目は、代表的なアカウントポリシーであり、筆者もグループポリシーを学び始めたときには、まずこれらの設定項目から勉強した。
アカウントポリシーは、グループポリシーの編集画面から「コンピューターの構成」→「ポリシー」→「Windowsの設定」→「セキュリティの設定」を展開した「アカウントポリシー」で設定する。
「アカウントポリシー」の配下には、さらに「パスワードのポリシー」「アカウントロックアウトのポリシー」「Kerberosポリシー」の3項目があり、それぞれの中に幾つかの設定項目が用意されている(画面1)。
アカウントポリシーの”特殊仕様”とは?
本連載第1回「グループポリシーの仕組み、理解できていますか?」でも説明したように、「グループポリシーオブジェクト(GPO)」は、Active Directoryのサイト、ドメイン、OU(Organizational Unit:組織単位)のいずれかにリンクして適用する。
それぞれにリンクされたGPOの定義内容は累積的に適用されるが、競合があった場合のために“優先順位”もあらかじめ決められている。適用の優先順位は、「OU」→「ドメイン」→「サイト」の順だ。例えば、OUとドメインにリンクされたGPOで競合する設定があった場合には、OUにリンクされたGPOの内容が優先される。これが、グループポリシーの通常の動作になる。
しかし、アカウントポリシー配下の設定に関しては“特殊仕様”になっており、「ドメインにリンクされたGPOだけ」が処理されるようになっている。
また、ドメインに複数のGPOがリンクされている場合には、その中で「最も優先順位が高いGPO」だけが処理される。つまり、既定では「Default Domain Policy」で定義されたアカウントポリシーだけが有効になる。そのため、GPOを新規作成してアカウントポリシーを定義し、それを特定のOUにリンクしても「意味がない」のだ。言い換えれば、「アカウントポリシーはドメイン内で1つしか定義することができない」ということになる。
Copyright © ITmedia, Inc. All Rights Reserved.