【AD】パスワードポリシーはPSO(Password Setting Object) がオススメ|GPOとの比較

PSO(Password Setting Object)を利用したパスワードポリシーについて解説します。パスワードポリシーは組織のシステムセキュリティーの基本なので確実に押さえておきたいところです。

目次

PSOとは

PSOとはPassword Setting Objectの略称です。そんな事はどうでもよくて、、、
Windows Server 2008から追加された機能で特殊なオブジェクトで構成されています。
ユーザーまたはグループに対して適応するものでグループポリシーオブジェクト(GPO)で作成するアカウントポリシーよりも優先されます。
難しい言葉がでてきましたが、知らなくても問題ありません。

GPOとPSOの比較

GPOでのパスワードポリシーは、ドメインにリンクされたグループポリシーでのみ設定が可能で、ドメインの全ユーザーに対して同じ設定が強制されます。

一方PSOではユーザーまたはグループ単位でのパスワードポリシーの設定が可能です。また、GPOより細かいパスワードポリシーが設定可能な点もメリットになります。

参考までに、GPOでのパスワードポリシーの定義方法は【Active Directory】GPOでパスワードポリシーを設定する方法と重要な注意点をご覧ください

ユーザー毎のパスワード設定ができるメリット

ところで、ユーザー毎にパスワードポリシーを設定する機会はあるのでしょうか?長年システム管理をしていた経験から答えると「あります!」

例えば、ある部署のパスワードを強くしたり、逆にシステム管理者のパスワードは若干緩くしたり、中にはお偉いさんのパスワードを緩くしたりと意外にニーズがあるものです。また、ADを共同利用している場合等は絶対に必要になってきます。(連結親会社が一つのADを管理していて連結子会社毎にパスワードポリシーが違うといったケースを実際に見たことがあります。)

PSOの設定

さて実際に設定をしてみましょう。

設定画面を開く

Active Directory の管理センターを開きます。

左画面上の「ドメイン名-system-Password Setting Container」 をクリック
右画面上で「右クリックー新規ーパスワードの設定」をクリック

パスワード設定を行う

下記パスワード設定の専用画面が開きますので、必要な項目に記入をします。項目としてはほぼアカウントポリシーと同じですが、一つの画面で全て設定できるので利便性は上だと思います。

下方にある「追加ボタン」でパスワードポリシーを設定するユーザーまたはグループを選択して完了です。一旦は、全てのユーザーに同じ設定にしたい場合はDomain Users と入れてあげればOKです。

まとめ

冒頭にも書きましたが、パスワードポリシーの設定はどの組織でも確実に実施していると思います。よりストレスなく運用していくにはGPOで行うアカウントポリシーより今回ご紹介したPSOを利用する事をお勧めします。検証も簡単にできますので、まずは利用して体験してみましょう。
最後まで読んでいただきありがとうございました。

コメント

コメントする

目次