- PR -

グループポリシーのパスワードの有効期間について

1
投稿者投稿内容
nai
会議室デビュー日: 2003/12/15
投稿数: 8
投稿日時: 2004-03-03 13:36
現在、ドメインユーザにパスワードを定期的に変更してもらおうと考えており、グループポリシーの「パスワードの有効期間」を利用したいと思っています。

初めて使うため、分からない点があります。ご存知の方は教えてください。

1.「パスワードの有効期間」はグループポリシーの「コンピュータの構成」にあるたということは、userではなく、computerに適用されるのでしょうか?OUの中に該当ユーザを入れて、そのOUのグループポリシーで設定しようと思っているのですが、この設定ではできないのでしょうか?

2.グループポリシーはOSが98だと適用しないのですが、実際にやってみるとやっぱりできないのでしょうか?それか別の方法で設定できるのであれば、その方法を教えてください。

宜しくお願いいたします。
nai
会議室デビュー日: 2003/12/15
投稿数: 8
投稿日時: 2004-03-03 14:02
サーバのOSはWindows2000です。
すみません。書き忘れてました。
あくてぃぶ
常連さん
会議室デビュー日: 2004/02/09
投稿数: 42
お住まい・勤務地: 神奈川県
投稿日時: 2004-03-03 17:13
あくてぃぶと申します。
下記を参照ください。
グループポリシーについて教えて下さい。

2004-03-02 17:51が最新投稿です。
スレッド名も似ていますし、せめて直近のスレッドは
チェックした方がいいと思います。
nai
会議室デビュー日: 2003/12/15
投稿数: 8
投稿日時: 2004-03-03 19:15
あくてぃぶさんありがとうございます。

すみません。直近の「グループポリシーについて教えて下さい。」を読みました。

--
設定したいポリシーはアカウントポリシーかと
思いますので、作成した、OUに適用したい
コンピュータオブジェクトは存在しますか?
--
--
ドメインユーザーのアカウントポリシー(パスワードポリシー)は
ドメインにのみ設定できます。
OUに設定した場合、ClientPCのローカルユーザーアカウント設定に
反映されます。
--

とありますが、Active Directoryユーザとコンピュータにドメインのコンピュータオブジェクトはcomputerフォルダにあります。このフォルダには、グループポリシーが作成できないので、新たにOUを作ってそこにコンピュータオブジェクトを移動してグループポリシーを作成すればいいのでしょうか?それともドメイン自体に設定すればよいのでしょうか?また、「OUに設定した場合、ClientPCのローカルユーザーアカウント設定に反映されます。」ということがよくわかりません。

上記について教えてください。宜しくお願いいたします。

あくてぃぶ
常連さん
会議室デビュー日: 2004/02/09
投稿数: 42
お住まい・勤務地: 神奈川県
投稿日時: 2004-03-05 09:37
おはようございます、あくてぃぶです。
引用:
Active Directoryユーザとコンピュータにドメインのコンピュータオブジェクトはcomputerフォルダにあります。このフォルダには、グループポリシーが作成できないので、新たにOUを作ってそこにコンピュータオブジェクトを移動してグループポリシーを作成すればいいのでしょうか?それともドメイン自体に設定すればよいのでしょうか?

グループポリシーは、サイト→ドメイン→OUの順番でポリシーが
反映されていきます。
したがって、ドメイン自体に設定して下さい。

引用:
「OUに設定した場合、ClientPCのローカルユーザーアカウント設定に反映されます。」ということがよくわかりません。

WindowsNT系(2000、XP)はドメインユーザーと、
ローカルユーザーの二つがあります。
簡単に言うと、ドメインユーザーはドメインコントローラが
管理しているユーザー。
ローカルユーザーは各クライアントPCが
管理しているユーザーです。
ログインする時に[ログオン先(L):]でドメインか、
computername(このコンピュータ)と選べますよね?

[ メッセージ編集済み 編集者: あくてぃぶ 編集日時 2004-03-05 09:40 ]
nai
会議室デビュー日: 2003/12/15
投稿数: 8
投稿日時: 2004-03-05 12:04
あくてぃぶさん、ありがとうございます。

あと、アカウントポリシーがユーザ構成じゃなくて、コンピュータの構成であることで引っかかることがあるのですが、例えば、パスワードの有効期間を3日に設定したとすると、CompAにログインしたら、4日後にパスワードを変更しないといけなりますが、CompBにもログインしたら、CompBにログインしてから4日後かそれともCompAにログインしてから4日後なのかということがわかりません。(アカウントポリシーをコンピュータの構成で設定することに対してちょっと拒否ってます^^;)

よろしくお願いいたします。
あくてぃぶ
常連さん
会議室デビュー日: 2004/02/09
投稿数: 42
お住まい・勤務地: 神奈川県
投稿日時: 2004-03-05 18:21
引用:
例えば、パスワードの有効期間を3日に設定したとすると、CompAにログインしたら、4日後にパスワードを変更しないといけなりますが、CompBにもログインしたら、CompBにログインしてから4日後かそれともCompAにログインしてから4日後なのかということがわかりません。(アカウントポリシーをコンピュータの構成で設定することに対してちょっと拒否ってます^^;)

上記の質問に関しては、検証した事がないので、解らないのですが、
ぜひ検証してみて下さい。(結果はここのスレッドで教えて下さいね)
<余談>
[ユーザーの構成]にある設定は、
ユーザーがログオンする時に取得されます。
[コンピュータの構成]にある設定は、
コンピュータが起動する時に取得されます。
は関係ありませんかね?

[ メッセージ編集済み 編集者: あくてぃぶ 編集日時 2004-03-05 18:26 ]
Matt
会議室デビュー日: 2004/03/09
投稿数: 12
投稿日時: 2004-03-09 13:40
新参者ですが、よろしくお願いします。


なぜコンピュータの構成の場所にアカウントポリシーがあるか、ですが、「ユーザアカウントが登録されている場所」と考えれば分かりやすいのではないでしょうか。

つまり、CompAに対して、「CompAに登録されているローカルユーザ」でログオンした場合、CompAにて設定されたパスワードポリシーが適用されます。
(ついでに、CompBに登録されたローカルユーザで、CompAにはログオンできない点は理解して おいてくださいませ)

これに対し、たとえばCompA、CompBがそれぞれDomainCに参加している場合、ドメインのユーザアカウントを利用するかと思いますが、この場合のユーザアカウントのパスワードポリシーは「ドメインポリシー」でしか設定できません。ドメインのユーザに関してパスワードポリシーを異なる形にしたい場合にはドメイン分割が必要となります。


Windowsの仕様上、ユーザ単位にパスワードの有効期間ってのが設定できない(アカウントデータベース単位でしか出来ないかと思われます)ので、「ユーザの構成」にはないんじゃないかなぁ…と思っております。
1

スキルアップ/キャリアアップ(JOB@IT)