- PR -

ADでのパスワードの運用

1
投稿者投稿内容
masa
ベテラン
会議室デビュー日: 2005/04/27
投稿数: 99
投稿日時: 2005-12-21 14:43
いつもお世話になります。

AD上のパスワードの運用の以下2点について
皆さんお知恵を拝借したくよろしくお願いします。

@セキュリティ向上のため
ADでパスワードを定期的に変更するように
ポリシーをかけようと考えているのですがドメイン全体ではなく
OU内の特定のユーザだけに(要はグループポリシーで)
ポリシーをかけることって出来ないのでしょうか?
パスワードのポリシーはドメイン全体にしか
かけられないという記憶があるのですが…

A@が出来ないという前提ですが、
その場合、当然ドメインのAdministratorにも
ポリシーがかかってしまうのでしょうか?
Administratorのパスワードも定期的に変更してしまうと
各サーバ上でAdministratorで動作しているサービスやタスクなどの
パスワード再登録が必要になるのではと懸念しています。

そもそもセキュリティ向上のためだったら
Administratorも変更すべきだという意見が
出そうですがそこは置いといて。

パスワードの運用について皆さんがどのような
運用をしているのかも教えて頂ければ幸いです。

よろしくお願いします。

Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-12-21 23:34
引用:

OU内の特定のユーザだけに(要はグループポリシーで)
ポリシーをかけることって出来ないのでしょうか?

正当な方法ではできません。
MicrosoftActiveDirectoryの設計思想として、
「ドメインはセキュリティ境界」
という概念があるため、セキュリティポリシーに関連する設定は
ドメイン単位で設定するような構成になってる、という実装になってしまってます。

邪道的な方法としては、グループポリシーの読み取りアクセス権で制御する
手法があります。
読み取り権限がないグループポリシーは適用されない、というわけで。
詳細な設定手順はすぐ出てこないんで、とりあえずグループポリシーの
アクセス権を眺めてみてください。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
masa
ベテラン
会議室デビュー日: 2005/04/27
投稿数: 99
投稿日時: 2005-12-22 14:42
Mattunさん

ご意見ありがとうございます。
ポリシーを適用したいユーザだけ読み取れるよう
権限をつけるということですね?

確かに裏技ですね。勉強になります。

ちなみに、質問した目的はドメインのAdministratorにだけは
パスワードポリシーを適用したくないということなのですが、
すごく基本的なことに気がついてませんでした。

そもそもAdministratorを含むビルトインユーザって
"パスワードを無期限にする"でアカウントが作成されませんでしたっけ?
だったらこれらのユーザに対してはドメイン上で
グループポリシーをかけようがドメインポリシーでかけようがパスワードの
ポリシーは適用されないのでは?と思いました。

ちょっと実験してみます。





1

スキルアップ/キャリアアップ(JOB@IT)