ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

Windows ドメインアカウントのパスワード変更後、ログオフせずに情報を更新する

Windows ドメインアカウントのパスワード変更後、ログオフせずに情報を更新するということに関する情報になりますが、こういった観点で考えたことがなかったので、ちょっと面白いのでシェアします。もしかしたら同様の要望があるかもしれません。

 

情報元はマイクロソフトのテックネットです。

ドメイン管理者パスワード変更後の、ドメインメンバサーバのログインセッションについて

 

以下は質問内容の抜粋です。

 

Windowsのドメインで、ドメイン管理者アカウントのパスワードを変更しました。Windowsのドメインで、ドメイン管理者アカウントのパスワードを変更しました。変更自体は正常に行えましたが、1点確認したいことがあり質問いたしたく。


パスワードの変更前からドメイン管理者アカウントでログインしていたドメインメンバサーバについて、変更後に ログオフ → 新パスワードで再ログオン 「していない」ものから、以下のメッセージが出力され続けています。


-----

グループ ポリシーの処理に失敗しました。このユーザーまたはコンピューターの新しいグループ ポリシー設定を取得しようとしました。エラー コードと説明については、[詳細] タブを参照してください。

-----


「詳細」タブを確認したところ、アカウントもしくはパスワードの不一致ということでした。
パスワード変更後に ログオフ → 再ログオン 「した」サーバからは、このようなメッセージが出ていないことから見て、原因は、ログオフ→再ログオン していないことにあるということは明らかと思います。
この「・・・・再ログオンしていない」理由ですが、このサーバのログインセッションでアプリケーションが継続動作しており、ある理由でこのアプリケーションを止めたくないことによります。
つまり ログオフ=アプリケーションの停止 という認識です。
お聞きしたいのは、ログオフしないで、上記のエラーを止める方法があるかどうか、ということです。
つまりログオフせず現セッションを保持したまま、ドメイン管理者アカウントと変更後パスワードの整合性をとる方法あれば、ご教示いただきたく。ドメインコントローラ、ドメインメンバとも、OSは、Windows Server 2012 R2 Standard です。

 

これちょっと参考になりますが、ログオフできない運用でパスワードを変更するとこういった状態になりますということですね。

 

 

基本的にパスワードを変更してログオフしないってあんまりないケースかもしれませんが。

 

続いて、回答内容の抜粋です。

 

これを「自動的に」行う方法はないでしょう。なぜなら、ログオン中のユーザーパスワード情報は「物理メモリ上」に保存されており、これを変更する唯一の方法は[Alt]+[Ctrl]+[Del]キーを押して、パスワード入力画面からパスワードを入力するしかないからです。これは「手動で行う」ことを保証した動作とWindowsでは定義されているためになります。

ということは、手動でコレを行うと、シアワセになれる可能性があります。要するに、デスクトップをいったん「ロック」したうえで、新しいパスワードを入力してデスクトップを再表示すれば、物理メモリ上のパスワード情報はそれに更新されるためです。

 

なるほど、ロックして新しいパスワードを入力して再表示でいいのですね。