- PR -

グループポリシーが正しく反映されません

投稿者	投稿内容
Pierre 会議室デビュー日: 2007/04/10 投稿数: 1	投稿日時: 2007-04-11 13:53 Pierreと申します。お世話になります。グループポリシーで「パスワードの履歴」ポリシーが正しく反映されないことについてお尋ねします。 DC : Windows Server 2003 SBS クライアント: Windows XP Professional SP2 上記DC、クライアントで「SS4.local」というドメインを構成しています。この「SS4.local」ドメインには「N」というOUがあり、26台のクライアントが存在しています。 Default Domain Policy（強制）の［Windows の設定］-［セキュリティの設定］ -［アカウントポリシー/パスワードのポリシー］で以下の項目を設定しています。・パスワードの長さ:8文字・パスワードの変更禁止期間：0日・パスワードの有効期間：90日・パスワードの履歴を記録する：2個のパスワード・パスワードは要求する複雑さを満たす：無効・暗号化を元に戻せる状態で・・・：無効また［ローカルポリシー］-［対話型ログオン］では・ドメインコントローラが利用できない場合に使用する前回ログオンのキャッシュ数：0ログオン・パスワードが無効になる前にユーザーに変更を促す：14日・最後のユーザー名を表示しない：有効「N」OUのグループポリシー(N_GPO)では、［ユーザーの構成］で・ソフトウェアの制限のポリシー・Internet Explorer のメンテナンス・スクリーンセーバーのタイムアウト　を設定しています。「SS4.local」のグループポリシーオブジェクトの内容では、上記2種類のポリシーのみ「GPOの状態」で有効となっており、デフォルトポリシーを含むその他のポリシーは全て「すべての設定が無効」になっていることを確認しました。クライアントからログオンするとスクリーンセーバーの設定や、Internet Explorer設定、最後にログオンしたユーザーが表示されないなど正しく反映されている部分もあります。しかし、ログオンしたユーザーのパスワードをリセットし、ログオン時に変更させるようにして、何度か以前に使用したパスワードを使おうとすると以下のようなメッセージが表示されます。「パスワードは少なくとも8文字必要です。新しいパスワードには、24個前までのパスワードと同じものは使えません。また、作成されてから0日経過したパスワードである必要があります。違うパスワードを入力してください。両方のテキストボックスに、要件を満たすパスワードを入力してください。」パスワードの履歴を記録するポリシーが正しく反映されていないように見えます。そこで、新規にテスト用ユーザーを作成し、何度もテストしても状態は変わりません。クライアントでgpresultを実行すると Default Domain Policy、N_GPO、ローカルグループポリシーが「適用されたグループポリシーオブジェクト」として表示されます。このドメインでは、パスワードの履歴を2個として設定させたいと思っています。 Microsoftなどの様々なサイトで調べてみましたが、原因がつかめません。識者の方、原因や対処方法について恐れ入りますがご教示ください。
チャブーン大ベテラン会議室デビュー日: 2006/11/25 投稿数: 149	投稿日時: 2007-04-13 01:20 チャブーンです。まず、念のための確認として gpresult /z コマンド (/z オプションを使ってください) で本当はどのように適用されているのか、細かく確認してみてはどうでしょうか。このとき長いログがでますが、"アカウントポリシー" という項目に注意すると、アカウントポリシーが適用されている GPO 名と、各アカウントポリシー項目の設定値が確認できます。もし、ここで設定の誤りがあれば修正しますが、想定されている内容から見て結果がおかしい場合、(イベントログの)システムログやアプリケーションログなどをみてグループポリシーの動作がおかしくないかチェックする、という流れになるのではないでしょうか。また、セキュリティポリシーを含めグループポリシーを変更したような場合、ドメインコントローラ上で gpupdate /force コマンドを実行することで、きちんと適用されるようになることがあります。ドメインコントローラが 1 台しかない場合も有効ですので、試してみてください。

投稿者

投稿内容

Pierre: 会議室デビュー日: 2007/04/10; 投稿数: 1

投稿日時: 2007-04-11 13:53

Pierreと申します。お世話になります。
グループポリシーで「パスワードの履歴」ポリシーが
正しく反映されないことについてお尋ねします。

DC : Windows Server 2003 SBS
クライアント: Windows XP Professional SP2

上記DC、クライアントで「SS4.local」というドメインを構成しています。
この「SS4.local」ドメインには「N」というOUがあり、26台のクライアントが存在しています。

Default Domain Policy（強制）の［Windows の設定］-［セキュリティの設定］
-［アカウントポリシー/パスワードのポリシー］で以下の項目を設定しています。

・パスワードの長さ:8文字
・パスワードの変更禁止期間：0日
・パスワードの有効期間：90日
・パスワードの履歴を記録する：2個のパスワード
・パスワードは要求する複雑さを満たす：無効
・暗号化を元に戻せる状態で・・・：無効

また［ローカルポリシー］-［対話型ログオン］では
・ドメインコントローラが利用できない場合に使用する前回ログオンのキャッシュ数：0ログオン
・パスワードが無効になる前にユーザーに変更を促す：14日
・最後のユーザー名を表示しない：有効

「N」OUのグループポリシー(N_GPO)では、［ユーザーの構成］で
・ソフトウェアの制限のポリシー
・Internet Explorer のメンテナンス
・スクリーンセーバーのタイムアウト
　を設定しています。

「SS4.local」のグループポリシーオブジェクトの内容では、上記2種類の
ポリシーのみ「GPOの状態」で有効となっており、デフォルトポリシーを含む
その他のポリシーは全て「すべての設定が無効」になっていることを確認しました。

クライアントからログオンするとスクリーンセーバーの設定や、Internet Explorer設定、
最後にログオンしたユーザーが表示されないなど正しく反映されている部分もあります。

しかし、ログオンしたユーザーのパスワードをリセットし、ログオン時に変更させるようにして、
何度か以前に使用したパスワードを使おうとすると以下のようなメッセージが表示されます。

「パスワードは少なくとも8文字必要です。新しいパスワードには、24個前までのパスワードと同じものは使えません。
また、作成されてから0日経過したパスワードである必要があります。違うパスワードを入力してください。
両方のテキストボックスに、要件を満たすパスワードを入力してください。」

パスワードの履歴を記録するポリシーが正しく反映されていないように見えます。
そこで、新規にテスト用ユーザーを作成し、何度もテストしても状態は変わりません。

クライアントでgpresultを実行すると Default Domain Policy、N_GPO、ローカルグループポリシーが
「適用されたグループポリシーオブジェクト」として表示されます。

このドメインでは、パスワードの履歴を2個として設定させたいと思っています。
Microsoftなどの様々なサイトで調べてみましたが、原因がつかめません。

識者の方、原因や対処方法について恐れ入りますがご教示ください。

チャブーン: 大ベテラン; 会議室デビュー日: 2006/11/25; 投稿数: 149

投稿日時: 2007-04-13 01:20

チャブーンです。

まず、念のための確認として gpresult /z コマンド (/z オプションを使ってください) で本当はどのように適用されているのか、細かく確認してみてはどうでしょうか。

このとき長いログがでますが、"アカウントポリシー" という項目に注意すると、アカウントポリシーが適用されている GPO 名と、各アカウントポリシー項目の設定値が確認できます。

もし、ここで設定の誤りがあれば修正しますが、想定されている内容から見て結果がおかしい場合、(イベントログの)システムログやアプリケーションログなどをみてグループポリシーの動作がおかしくないかチェックする、という流れになるのではないでしょうか。

また、セキュリティポリシーを含めグループポリシーを変更したような場合、ドメインコントローラ上で gpupdate /force コマンドを実行することで、きちんと適用されるようになることがあります。ドメインコントローラが 1 台しかない場合も有効ですので、試してみてください。

＠IT SpecialPR

グループポリシーが正しく反映されません

スキルアップ／キャリアアップ（JOB@IT）