- PR -

Active Direcotyのパスワードポリシーについて

1
投稿者投稿内容
ZYX
大ベテラン
会議室デビュー日: 2004/11/08
投稿数: 109
投稿日時: 2007-03-30 17:01
Active Directoryの初心者で、構築に苦慮しています。
質問にご回答いただけるようにお願いします。

Active Direcotyでパスワードの有効期限を設定しています。

有効期限が過ぎた時に、クライアントPCを起動し、ログインする時には、古いパスワードでログインできます。
(パスワードの変更画面が出ません)

しかし、ネットワークドライブに設定しているサーバーの共有フォルダには、アクセスできなくなります。
(パスワードの有効期限が切れているのが原因と思います)

「Ctrl」+「Alt」+「Del」を実行し、パスワードの変更を実施すると、ネットワークドライブにもアクセスできるようになります。

できれば、パスワードが切れた後に、クライアントPCを起動した場合、ログインするタイミングで、パスワードの変更を促すことはできないのでしょうか?

Active Directoryの仕様でどうしようもないのであれば仕方ないですが、設定次第で回避できるのであれば、教えてください。


よろしくお願いします。
wojisan
大ベテラン
会議室デビュー日: 2006/08/02
投稿数: 149
投稿日時: 2007-03-30 17:15
引用:

ZYXさんの書き込み (2007-03-30 17:01) より:
Active Directoryの初心者で、構築に苦慮しています。
質問にご回答いただけるようにお願いします。

Active Direcotyでパスワードの有効期限を設定しています。

有効期限が過ぎた時に、クライアントPCを起動し、ログインする時には、古いパスワードでログインできます。
(パスワードの変更画面が出ません)

しかし、ネットワークドライブに設定しているサーバーの共有フォルダには、アクセスできなくなります。
(パスワードの有効期限が切れているのが原因と思います)

「Ctrl」+「Alt」+「Del」を実行し、パスワードの変更を実施すると、ネットワークドライブにもアクセスできるようになります。

できれば、パスワードが切れた後に、クライアントPCを起動した場合、ログインするタイミングで、パスワードの変更を促すことはできないのでしょうか?

Active Directoryの仕様でどうしようもないのであれば仕方ないですが、設定次第で回避できるのであれば、教えてください。


よろしくお願いします。


普通クライアントPCがドメインに参加していればパスワード期限切れのアナウンスがログイン時に出るはずですが。

確認はマイコンピュータのシステムのプロパティーのコンピュータ名のドメインをみればドメインに参加しているかどうかが判明します。

*「有効期限が過ぎた時に、クライアントPCを起動し、ログインする時には、古いパスワードでログインできます。」 と言うことはもしドメインに参加しているので有ればその時点でADサーバーと接続されて無くて”ローカルキャッシュ”でPCが立ち上がる時はそうなりますが。
ぴよこ
ベテラン
会議室デビュー日: 2006/12/11
投稿数: 61
投稿日時: 2007-03-30 19:51
wojisanさんの記載とそんなに変わりませんが。
確認項目の補足です。

 ■確認ポイント
  ドメインに参加してるけど、ローカルPCのユーザでログインしていませんか?
 ■確認方法:
  ログインした状態で、ALT+CTRL+DELを押して、「ログオン情報」に「PC名\ユーザ名」と、表示される場合、ローカルPCのユーザでログインしています。
  「ドメイン名\ユーザ名」と、表示される場合、問題ありません。
 ■対応方法:
  ログオン画面の「ログオン先」でドメイン名を選択し、ユーザ名、パスワードを入力する。
  →このとき、パスワードの有効期限が切れている場合、パスワードの変更画面が表示されます。

調べる順番としては
wojisanさんの確認項目→私の確認項目で。



[ メッセージ編集済み 編集者: ぴよこ 編集日時 2007-03-30 19:52 ]
ZYX
大ベテラン
会議室デビュー日: 2004/11/08
投稿数: 109
投稿日時: 2007-04-09 12:17
ぴよこ様、wojisan様、ご返答ありがとうございます。
風邪で寝込んでいたので、返事が遅れてしまい、大変失礼しました。

早速ですが、両名様のご指摘された事項は、問題ありませんでした。

確かに問題なくドメインに参加しています。

一度ログアウトし、再ログインしようとすると、パスワードの変更を要求されますが、OSの起動→ログインの時には、パスワードの変更要求が来ないです。

非常に困っています。
解決策がお分かりの方、よろしくお願い申し上げます。
NAO
ぬし
会議室デビュー日: 2001/10/24
投稿数: 1256
お住まい・勤務地: 神奈川のはずれから東京の下町
投稿日時: 2007-04-09 16:01
やっぱりADの設定で
ローカルキャッシュが有効でかつ、回数が設定されていませんか?
0にすれば大丈夫だと思いますが、

その辺りの確認結果はどうですか?
_________________
Inspired Ambitious
ISMS Assistant Auditor
ZYX
大ベテラン
会議室デビュー日: 2004/11/08
投稿数: 109
投稿日時: 2007-04-09 17:14
NAO様
回答をいただき、ありがとうございます。

引用:

NAOさんの書き込み (2007-04-09 16:01) より:
やっぱりADの設定で
ローカルキャッシュが有効でかつ、回数が設定されていませんか?
0にすれば大丈夫だと思いますが、

その辺りの確認結果はどうですか?



対話型ログオンでローカルにキャッシュしないようにしたところ、成功しました。
本当にありがとうございます。
チャブーン
大ベテラン
会議室デビュー日: 2006/11/25
投稿数: 149
投稿日時: 2007-04-11 10:30
チャブーンです。

解決済みということですので、よけいなお世話モードですが。

今回の解決方法でも悪くないですが、ノートパソコンのユーザだと厳しいかもしれませんね。

本来的には、したの状況が発生しているいうところ (Windows XP の高速ログオン機能のためです) だとおもいますので、修正プログラムを適用するかグループポリシーを変更することで対応できるはずですよ。

http://support.microsoft.com/kb/313194/ja

Windows XP の高速ログオンの細かいことは、ここにも資料があります。

http://support.microsoft.com/default.aspx?scid=kb;ja;305293
ZYX
大ベテラン
会議室デビュー日: 2004/11/08
投稿数: 109
投稿日時: 2007-04-11 11:42
チャブーンさん、回答をいただき、ありがとうございます。

引用:

チャブーンさんの書き込み (2007-04-11 10:30) より:
チャブーンです。

本来的には、したの状況が発生しているいうところ (Windows XP の高速ログオン機能のためです) だとおもいますので、修正プログラムを適用するかグループポリシーを変更することで対応できるはずですよ。

http://support.microsoft.com/kb/313194/ja

Windows XP の高速ログオンの細かいことは、ここにも資料があります。

http://support.microsoft.com/default.aspx?scid=kb;ja;305293


XPの高速ログオンがこんなところに影響していたのですね。
大変勉強になりました。

ユーザー(社員)としては、ログオンが遅くなることを嫌がりそうで、悩むところです。
でも、この解決法はかなり有効と思いますので、検討してみます。
1

スキルアップ/キャリアアップ(JOB@IT)