ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

AD ドメインユーザのパスワードポリシーで有効期限なしからありに変更時の影響

AD ドメインユーザのパスワードポリシーで有効期限なしからありに変更時の既存のパスワードへの影響についての情報になります。

 

基本的にパスワードは有効期限をつけて運用していると思いますが、中にはシステムよって無期限、もしくは有効期限をつけずに運営しているケースもあるかと思います。

 

運用が変更になり、有効期限なしからありに変更した場合はどういった動作になるのかについて、以下の情報が参考になりました。

 

Win2008 ADパスワードポリシーの有効期限 適用タイミングについて

 

以下は質問内容の抜粋です。

 

シングルフォレスト,シングルドメイン DC3台のドメイン環境です。Win2008のAD新機能であるパスワードポリシーを使用するため、DCであるサーバOSを、indows2003→Windows2008にリプレイスし、フォレスト&ドメイン機能レベルをWindows Server 2008に昇格しました。現行のユーザに適用されている、Default Domain Policyは、以下の通りです。

①パスワード有効期限:なし
②パスワードの文字数制限:なし
※パスワードの複雑さ:設定なし

ここに、以下のPSOを設定し、グループに適用しました。

①パスワード有効期限:90日
②パスワードの文字数制限:6文字
※パスワードの複雑さ:設定なし

各グループに所属しているユーザへのPSOの適用タイミングはどのタイミングとなりますか?
私は以下のように認識していますが正しいでしょうか?

①パスワードの有効期限は、PSOのグループ適用日が1日目と認識される。
 そのため、現在のパスワードをたとえ90日以上使用していたとしてもPSO適用日より90日目に初めてパスワード変更がうながされる。
 
②パスワードの文字数は次回変更時に制限がかかる。そのため、現在6文字を満たしていなくても問題はなく使い続けることが出来る。

#グループに所属しているユーザの「パスワード無期限」設定は行っていません。

 

パスワードポリシーを変更した場合の有効期限についての考え方になります。

 

 

続いて回答内容です。

 

パスワードポリシーは、パスワードの変更時と新しいパスワードの作成時に強制されますので、既存のユーザーにはなんら変更はなくそのまま最小文字数未満のパスワードも使い続けることが可能です。

ただ、有効期限についてはそのユーザーの「最終パスワード変更日時」から計算しているだけのようなので、今回の場合は一斉にパスワードが切れてしまうのではないでしょうか(簡単にテストしてみたらそんな感じでしたが、こちらはちょっと自身がありません)。
※「最終パスワード変更日時」は、コマンドプロンプトで、net user [ユーザー名] と入力してみると分かります。

 

パスワード無期限の場合は、おそらくアカウントが作成された日付になると思います。

 

C:\Users\****>net user ****
ユーザー名 ****
フル ネーム
コメント
ユーザーのコメント
国/地域番号 000 (システム既定)
アカウント有効 Yes
アカウントの期限 無期限

最終パスワード変更日時 2017/02/12 10:36:15
パスワード有効期間 無期限
パスワード次回変更可能日時 2017/02/12 10:36:15
パスワードあり No
ユーザーによるパスワード変更可能 Yes

ログオン可能なワークステーション すべて
ログオン スクリプト
ユーザー プロファイル
ホーム ディレクト

 

Anker Soundcore Liberty Air 2 Pro(ワイヤレス イヤホン Bluetooth 対応)【完全ワイヤレスイヤホン / Bluetooth5.0対応 / ウルトラノイズキャンセリング / 外音取り込み / ワイヤレス充電対応 / IPX4防水規格 / 最大26時間音楽再生 / 専用アプリ対応 / HearID機能 / 通話ノイズリダクション / PSE技術基準適合】ブラック