ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

Windows10 ドメインメンバ コンピューター アカウントのパスワードの有効期間の最大値、GPO設定

ドメインメンバ コンピューター アカウントのパスワードの有効期間の最大値に関する情報です。

 

以下は情報元です。

ドメイン メンバー コンピューター アカウントのパスワードの最大使用期間 (Windows 10) - Windows security | Microsoft Docs

 

Domain メンバーのベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明 します。 コンピューター アカウントのパスワードの最大保存時間のセキュリティ ポリシー設定に関しての情報が書かれています。

 

ドメイン メンバー: [コンピューター アカウントのパスワード の最大使用時間] ポリシー設定は、ドメイン メンバーがパスワード変更を送信する時間を決定します。


Active Directory ベースのドメインでは、各デバイスにアカウントとパスワードがあります。 既定では、ドメイン メンバーは 30 日ごとにパスワード変更を送信します。 この間隔を延長または短縮できます。 さらに、Domain メンバー: コンピューター アカウントのパスワード変更ポリシーを無効にして、パスワード変更要件を完全に無効にすることもできます。

 

ただし、このオプションを検討する前に、「ドメイン メンバー: コンピューター アカウントのパスワードの変更を無効にする」で説明されている意味 を確認してください。

 

規定値は30日ごとにドメインメンバー、ここではWindows10がパスワード変更を送信します。

 

重要

パスワードの変更間隔を大幅に長くする (またはパスワードの変更を無効にする) と、攻撃者はコンピューター アカウントの 1 つに対してブルートフォースパスワード推測攻撃を実行する時間が増えます。

 

 

情報によると、最大値は999日のようです。

 


1 ~ 999 の間のユーザー定義の日数 (含む)
未定義

 

ベスト プラクティス
ドメイン メンバー: コンピューター アカウントのパスワードの最大使用期間を約 30 日間に設定することをお勧めします。 値を少ない日数に設定すると、レプリケーションが増加し、ドメイン コントローラーに影響を与える可能性があります。 たとえば、コンピューター ドメインWindows NT 7 日ごとに変更されました。 追加のレプリケーションチャーンは、多数のコンピューターまたはサイト間の低速リンクを持つ大規模な組織のドメイン コントローラーに影響を与える可能性があります。

 

GPOの設定値です。

 

Location
コンピューターの構成\Windows の設定\セキュリティ設定\ローカル ポリシー\セキュリティ オプション

 

既定値既定値次の表に、このポリシーの実際の既定値と有効な既定値を示します。 既定値は、このポリシーのプロパティ ページにも表示されます。
既定値
サーバーの種類または GPO 既定値
既定のドメイン ポリシー 未定義
既定のドメイン コントローラー ポリシー 未定義
Stand-Aloneサーバーの既定の設定 30 日
DC 有効な既定の設定 30 日
メンバー サーバーの有効な既定の設定 30 日
クライアント コンピューターの有効な既定の設定 30 日

 

おそらく変更することは少ないかもしれませんが、参考までに。