PSO(Password Setting Object)を利用したパスワードポリシーについて解説します。パスワードポリシーは組織のシステムセキュリティーの基本なので確実に押さえておきたいところです。
PSOとは
PSOとはPassword Setting Objectの略称です。そんな事はどうでもよくて、、、
Windows Server 2008から追加された機能で特殊なオブジェクトで構成されています。
ユーザーまたはグループに対して適応するものでグループポリシーオブジェクト(GPO)で作成するアカウントポリシーよりも優先されます。
難しい言葉がでてきましたが、知らなくても問題ありません。
GPOとPSOの比較
GPOでのパスワードポリシーは、ドメインにリンクされたグループポリシーでのみ設定が可能で、ドメインの全ユーザーに対して同じ設定が強制されます。
一方PSOではユーザーまたはグループ単位でのパスワードポリシーの設定が可能です。また、GPOより細かいパスワードポリシーが設定可能な点もメリットになります。
参考までに、GPOでのパスワードポリシーの定義方法は【Active Directory】GPOでパスワードポリシーを設定する方法と重要な注意点をご覧ください
ユーザー毎のパスワード設定ができるメリット
ところで、ユーザー毎にパスワードポリシーを設定する機会はあるのでしょうか?長年システム管理をしていた経験から答えると「あります!」
例えば、ある部署のパスワードを強くしたり、逆にシステム管理者のパスワードは若干緩くしたり、中にはお偉いさんのパスワードを緩くしたりと意外にニーズがあるものです。また、ADを共同利用している場合等は絶対に必要になってきます。(連結親会社が一つのADを管理していて連結子会社毎にパスワードポリシーが違うといったケースを実際に見たことがあります。)
PSOの設定
さて実際に設定をしてみましょう。
設定画面を開く
Active Directory の管理センターを開きます。
左画面上の「ドメイン名-system-Password Setting Container」 をクリック
右画面上で「右クリックー新規ーパスワードの設定」をクリック
パスワード設定を行う
下記パスワード設定の専用画面が開きますので、必要な項目に記入をします。項目としてはほぼアカウントポリシーと同じですが、一つの画面で全て設定できるので利便性は上だと思います。
下方にある「追加ボタン」でパスワードポリシーを設定するユーザーまたはグループを選択して完了です。一旦は、全てのユーザーに同じ設定にしたい場合はDomain Users と入れてあげればOKです。
まとめ
冒頭にも書きましたが、パスワードポリシーの設定はどの組織でも確実に実施していると思います。よりストレスなく運用していくにはGPOで行うアカウントポリシーより今回ご紹介したPSOを利用する事をお勧めします。検証も簡単にできますので、まずは利用して体験してみましょう。
最後まで読んでいただきありがとうございました。
コメント