- - PR -
ActiveDirectoryのポリシー設定について
| 投稿者 | 投稿内容 |
|---|---|
|
投稿日時: 2005-05-24 11:11
お聞きしたいことがあります。
現在、Windows2000SV上のアクティブディレクトリーでユーザー管理をしています。 今後、セキュリティ対策としてパスワードの自動定期変更を行おうと思います。 そこでテスト的に以下のパスワードポリシーを作成し、検証しました。 パスワードポリシーは、"Default Domain Policy"にて定義 ・パスワードの長さ:8文字以上 ・パスワードの変更禁止期間:1日 ・パスワードの有効期限:2日 ・パスワードは要求する複雑さ:有効 結果的に全ユーザーのパスワードはポリシー通りになりましたが、このポリシーを適用させたくないユーザーが出てきました。 そこでOU(Organization Unit)を作り、このポリシーを適用させたくないユーザーを移動しました。 しかし、移動したユーザーにも自動的にパスワードポリシーが適用されてしまいます。 特定のユーザーのみポリシーを適用させない設定 or OUのみ適用できるポリシー作成/設定方法があればご教授頂きたいと思います。 よろしくお願いします。 |
|
投稿日時: 2005-05-24 11:31
なんにしてもDefaultDomainPolicyやDefaultDomainControllerPolicyを
直接いじるのは止めたほうがいいです。 機能/目的/適用対象ごとにグループポリシーを作成しておかないと、 後々管理が大変になりますよ。 また、ポリシーの編集作業、GPMC使ってませんよね? http://www.microsoft.com/japan/windowsserver2003/gpmc/default.mspx 使ってれば、どのドメイン/OUにどのポリシーを適用してるのか、 任意のポリシーをOUに適用させる/させない、について、何か方法思いついていると思います。 Windows2000/2003標準のグループポリシー管理機能は把握がしにくい代物であり、 その対策としてGPMCが公開されているわけなので、ぜひ利用しましょう。 GPMCはWindows2000ActiveDirectoryのポリシー編集作業にも利用できます。 ただし、WindowsXPまたは2003からじゃないと利用できません。 |
|
投稿日時: 2005-05-24 12:43
パスワードポリシーってドメインレベルで制御するものなので、別のパスワードポリシーを必要とする場合はドメインを分割する必要があるのでは?
(自分はそうしています) ”ドメイン=セキュリティの境界”というのはWindows 2000が発売された頃からよく聞きます。 追記 @ITさんの記事の中にも記述があります。 http://www.atmarkit.co.jp/fwin2k/operation/adprimer006/adprimer006_01.html 中頃の”ドメインの検討”が参考になるかと思います。 [ メッセージ編集済み 編集者: Atwight 編集日時 2005-05-24 12:45 ] |
|
投稿日時: 2005-05-24 13:49
Mattunさん、Atwightさんありがとうございます。
Mattunさんの言われた"gpmc"をインストールしポリシーを設定しています。 その過程でやはり不思議に思ったのは、OUにも新規のポリシーが設定できるのですが 反映されないようです。例えば、DefaultDomainPolicyは標準のままにして、OUにポリシーを新規作成してパスワードポリシーを作成しました。(8文字以上など)しかし、OUに所属したユーザーのパスワード変更を、DC上or端末上で変更すると簡単に変更できてしまいます。結局OU単位ではポリシーは設定できないのでしょうか? Atwightさんに教えていただいた方法ですが、マルチドメインをシングルドメインに変更した経緯があります。 ひとつのドメインでこのようなポリシーを設定された方がいましたら教えていただきたいと思います。 |
|
投稿日時: 2005-05-24 14:38
こんにちは。
Atwightさんがおっしゃるように、別のパスワードポリシーを設定するにはドメインを別にする必要があります。 この会議室の過去の記事でも、他のメーリングリストでも1ドメインに複数のパスワードポリシーを設定する方法は無かったと記憶しています。 公式情報としては http://www.microsoft.com/japan/technet/security/prodtech/win2000/win2khg/05sconfg.asp アカウント ポリシーの項目が参考になると思います。 |
|
投稿日時: 2005-05-24 16:34
まえせんさん、Atwightさん、Mattunさんありがとうございました。
今、どうしてもシングルドメインで複数ポリシー適用が必要で以下の検証を行いました。 1:DomainDefaultPolicyでドメイン内のパスワードを定義する 2:このポリシーを適用したくないOUで"ポリシーを継承しない"にチェック しかし、結果は失敗で全ドメインユーザーにドメインポリシーが適用されてしまいました。 逆にあるOUorあるグループのみをドメインポリシー適用外にする方法などはあるのでしょうか? やはり、ドメインを分ける以外に手がないのでしょうか? |
|
投稿日時: 2005-05-27 09:44
私の部署でも似たようなことをしていますが(スクリーンセーバのパスワード
ロックポリシをユーザ毎に分ける)、 ・Default Domain Policy は「いじらない(デフォのまま)」 ・「レベル○ポリシ」等別のポリシを作る ・OUを「並列で」分けて、別々のポリシを適用する ・ポリシを上書きする/しない を微調整 で、ポリシ分け対応できました。 ADの構造を root <- default Domain Policy OU-1 <- default Domain Policy OU-1-1 <- Policy 1 OU-1-2 <- Policy 2 という作りではなく、 root <- default Domain Policy OU-1 <- Policy 1 OU-1-1 <- Policy 1 OU-2 <- Policy 2 という造りにするのが良いみたいです。 細かなポリシ使い分けをする場合は「Default Domain Policy」には 手を触れないことをお薦めします。 →何度かミスオペ/不具合でヒドイ目にあったことが・・・(_ _ヾ。 |
|
投稿日時: 2005-05-27 11:15
こんにちは。
スクリーンセーバのパスワードロックポリシは(コントロールパネル−画面のことだと思いますが)、問題ないと思いますが、パスワードポリシーはドメインレベルなので、ティムさんの方法でもfujiさんの意図した動作にはならないと思います。 理由は、私とAtwightさんのリンクの内容を見て頂ければ判ると思います。 |
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。