例えば、中小企業の場合、パスワードの管理が面倒だからという理由で、パスワードの有効期限を設定していないところがあったりします。セキュリティ上問題もありますし、監査が入った時に必ず指摘される部分です。
様々な理由で、これまでパスワードの有効期限を定めていなかった状態から、パスワードの有効期限を定義したいというケースがあるかと思います。
その場合、注意点があります。
まず、現行運用されているADのOSは、Winodws 2003 Server、Windows Server 2008 R2、Windows Server 2012などが多いかと思います。※Winodws 2003 Serverは来年の2015年7月にサポートが切れますので、注意。
また、余談ですが、Windows Server 2003以前のADドメインの場合、ドメイン内のすべてのユーザーに 1 つのパスワード ポリシーとアカウント ロックアウト ポリシーを適用することしかできませんでしたが、Windows Server 2008 R2以降は、特殊な方法で同一ドメイン内で複数のパスワードポリシーを定義することができます。
たまに、普通にポリシーを作成して、OUに適用している人がいますが、パスワードポリシーはOU対しては適用されません。
>>AD DS: 細かい設定が可能なパスワード ポリシー(Microsoft)
上記のマイクロソフトの公式サイトをご覧いただくと、ドメインごとに複数のパスワード設定とアカウントロックアウト設定を構成できるようなったことがわかりますね。
前置きが長くなりましたが、基本的に、これまでの企業で多いのは、デフォルトドメインポリシーを編集することが一般的です。また、デフォルトドメインポリシーを直接編集せずに、ポリシーをコピー、貼り付けし、優先度を「1」にすれば、元のデフォルトドメインポリシーを編集せずに、パスワードポリシーを新たに作成、適用することができます。
そして、これからメインの話ですが、
運用中のADドメインで突然パスワードポリシーの有効期限を定義し、GPOを適用すると、最終パスワード変更日時から、パスワードポリシーで定義した有効期間を超える場合、次回ログオン時にパスワードの変更を要求されることになります。
また、各ユーザのパスワードの有効期限は「net user」コマンドで確認することができます。このコマンドはドメインコントローラー上で実行します。
【net userコマンド出力例】
---------------------------
※パスワード有効期限は、アカウントの設定で「パスワードを無期限にする」にチェックが入っている場合は、「無期限」と表示されます。
また、デフォルトドメインポリシーでパスワードの有効期限を変更したい場合は、
①ADサーバでグループ ポリシー管理コンソール (GPMC)起動
②[ フォレスト ] → [ ドメイン ] → [ ドメイン名 ] → [ Default Domain Policy ] の順に展開し、Default Domain Policy を右クリックして編集をクリックします。
③[ コンピュータの構成 ] → [ ポリシー ] → [ Windwos の設定 ] → [ セキュリティの設定 ] → [ パスワードのポリシー ] の順に展開し、右ペインの「 パスワードの長さ 」をダブルクリックします。
④任意の数字を入力し、[OK]をクリックします。
※デフォルト42日間
固定パスワードで運用しているアカウントは、「パスワードを無期限にする」 にチェックを入れれば、パスワードポリシーが適用されても、変更する必要はありません。
また、パスワードと連動しているシステムがあれば、影響がないか事前に確認しておく必要がありますね。
