本記事では、グループポリシーオブジェクト(GPO)でパスワードポリシーを設定する方法を解説します。ドメインユーザーが利用できるパスワードの難易度を上げ組織のセキュリティー強化を図りましょう。
グループポリシー(GPO)の作成と適用手順
「グループポリシーて何?」という方は「グループポリシーの作成と適用手順」Active Directoryをフル活用して端末を完全制御しちゃおう!!で細かい説明をしていますのでご参照ください。実例を用いて説明をしていますので、全くの初心者でもグルーポプリシーが自由に扱えるようになります。
設定するGPOについて
設定するGPOはアカウントポリシーです。パスワードの長さや複雑さを定義する事ができます。
GPO:アカウントポリシー
パス:コンピューターの構成 ⇒ ポリシー ⇒ Windowsの設定 ⇒ セキュリティの設定 ⇒ アカウントポリシー
【重要】アカウントポリシーの特殊性
アカウントポリシーには特殊な性質があります。なんとドメイン直下のGPOのみでしか設定することができません。ドメイン直下に作成したOUの中にGPOを置いても無効ということです。(下の絵だとか「検証用OU」の中に置いてもダメなわけです。)過去にハマった事があります。
デフォルトでは、Default Domain PolicyといったGPOの中にアカウントポリシーが定義がされています。このGPOを編集してアカウントポリシーを定義することになります。ドメインユーザー全てに同じ設定が適用されます。もちろんドメイン直下であればOKなので新しいGPOを作成しても良いです。その場合は、グループポリシーの適用順序(複数のGPOで競合が発生した場合どうなるのか)|RSoPの作成工程を参考にGPOの適用順序に注意してください
ユーザー・グループ毎にパスワードポリシーを設定するには
ドメインにリンクされたGPOのみでしかアカウントポリシーを設定できないとなると、OU毎にアカウントポリシーを設定する事ができません。ということは、ユーザーやグループ毎にパスワードポリシーを設定する事ができないのです。
安心してください、PSO(Password Setting Object)という方法で解決ができます。また、管理人はGPOよりPSOをおススメします。
詳しくは下記の記事をご参照ください。
【AD】パスワードポリシーはPSO(Password Setting Object) がオススメ|GPOとの比較
コメント