【Active Directory】GPOでパスワードポリシーを設定する方法と重要な注意点

本記事では、グループポリシーオブジェクト(GPO)でパスワードポリシーを設定する方法を解説します。ドメインユーザーが利用できるパスワードの難易度を上げ組織のセキュリティー強化を図りましょう。

目次

グループポリシー(GPO)の作成と適用手順

「グループポリシーて何?」という方は「グループポリシーの作成と適用手順」Active Directoryをフル活用して端末を完全制御しちゃおう!!で細かい説明をしていますのでご参照ください。実例を用いて説明をしていますので、全くの初心者でもグルーポプリシーが自由に扱えるようになります。

設定するGPOについて

設定するGPOはアカウントポリシーです。パスワードの長さや複雑さを定義する事ができます。
GPO:アカウントポリシー
パス:コンピューターの構成 ⇒ ポリシー ⇒ Windowsの設定 ⇒ セキュリティの設定 ⇒ アカウントポリシー

【重要】アカウントポリシーの特殊性

アカウントポリシーには特殊な性質があります。なんとドメイン直下のGPOのみでしか設定することができません。ドメイン直下に作成したOUの中にGPOを置いても無効ということです。(下の絵だとか「検証用OU」の中に置いてもダメなわけです。)過去にハマった事があります。

デフォルトでは、Default Domain PolicyといったGPOの中にアカウントポリシーが定義がされています。このGPOを編集してアカウントポリシーを定義することになります。ドメインユーザー全てに同じ設定が適用されます。もちろんドメイン直下であればOKなので新しいGPOを作成しても良いです。その場合は、グループポリシーの適用順序(複数のGPOで競合が発生した場合どうなるのか)|RSoPの作成工程を参考にGPOの適用順序に注意してください

ユーザー・グループ毎にパスワードポリシーを設定するには

ドメインにリンクされたGPOのみでしかアカウントポリシーを設定できないとなると、OU毎にアカウントポリシーを設定する事ができません。ということは、ユーザーやグループ毎にパスワードポリシーを設定する事ができないのです。

安心してください、PSO(Password Setting Object)という方法で解決ができます。また、管理人はGPOよりPSOをおススメします。

詳しくは下記の記事をご参照ください。

【AD】パスワードポリシーはPSO(Password Setting Object) がオススメ|GPOとの比較

 

コメント

コメントする

目次