- PR -

ActiveDirectoryのアカウントポリシーについて

1
投稿者投稿内容
simi
会議室デビュー日: 2006/11/22
投稿数: 1
投稿日時: 2006-11-22 10:14
はじめまして。
日頃、掲示板を拝見させて頂いております。

現在Windows2003ServerにてActiveDirectoryを構成しております。

----------------------------------------------
環境 サーバ  Windows2003Server SP1
クライアント WindowsXP SP1
SP2
----------------------------------------------

以下のようにドメインに対してポリシーを設定してます。

設定内容 パスワード長さ 8文字
     パスワードの複雑化 有効

クライアント側でドメインにログインし、
ローカルセキュリティポリシーを見ると、
設定内容が反映されていることが確認できます。
確認後に、一度ログアウトしてサーバ側でこのユーザに対して
次回ログイン時にパスワード変更を行う設定をします。
クライアント側で同じPCを使用しログインします。
パスワードの変更要求が来たので、
パスワードを「99999999」と入力するとそのまま通ってしまい、
設定内容とは異なる動きをしてしまいます。

ただし、ドメインにログインせずにローカルにログインし
パスワードの変更を行おうとすると
パスワードの複雑化が有効になっており、
3種類以上の文字を使用しないと変更できません。

・パスワードの複雑化のチェック(アカウントポリシーの設定内容のチェック)は設定されたポリシーに適合しているかどうかをどこと照らし合わせているのでしょうか?

ご協力お願いします。

dellgate
大ベテラン
会議室デビュー日: 2004/02/20
投稿数: 198
投稿日時: 2006-11-22 11:08
ローカルログオンすると、ローカルセキュリティポリシーが
使用されますよね。
TOMO
会議室デビュー日: 2006/12/07
投稿数: 3
投稿日時: 2006-12-07 12:26
はじめまして。

ドメインへ適用したいパスワードポリシーは「Default Domain Policy」で設定するのですが、
simiさんはどのグループ ポリシーへ設定されたでしょうか?

記載された内容を拝見すると、

ローカルアカウントにのみ反映されているようなので、
「Default Domain Policy」以外のグループ ポリシーで設定しませんでしたか?
ドメインへ適用したい場合は、「Default Domain Policy」でしか設定できません。

また、dellgateさんがおっしゃっているとおり、ログオンするPCのローカルセキュリティポリシーに設定しても、
ドメインアカウントへは適用されません。


なので、
OU単位にドメインアカウントのパスワードポリシーを変えることはでず、
1ドメイン1設定となります。
「Default Domain Policy」の適用・非適用はOUのポリシー継承や、ポリシーの拒否設定で行うことができます。
1

スキルアップ/キャリアアップ(JOB@IT)