【Active Directory】GPOでパスワードポリシーを設定する方法と重要な注意点

2021年10月4日

本記事では、グループポリシーオブジェクト(GPO)でパスワードポリシーを設定する方法を解説します。ドメインユーザーが利用できるパスワードの難易度を上げ組織のセキュリティー強化を図りましょう。

グループポリシー(GPO)の作成と適用手順

「グループポリシーて何?」という方は「グループポリシーの作成と適用手順」Active Directoryをフル活用して端末を完全制御しちゃおう!!で細かい説明をしていますのでご参照ください。実例を用いて説明をしていますので、全くの初心者でもグルーポプリシーが自由に扱えるようになります。

設定するGPOについて

設定するGPOはアカウントポリシーです。パスワードの長さや複雑さを定義する事ができます。
GPO:アカウントポリシー
パス:コンピューターの構成 ⇒ ポリシー ⇒ Windowsの設定 ⇒ セキュリティの設定 ⇒ アカウントポリシー

【重要】アカウントポリシーの特殊性

アカウントポリシーには特殊な性質があります。なんとドメイン直下のGPOのみでしか設定することができません。ドメイン直下に作成したOUの中にGPOを置いても無効ということです。(下の絵だとか「検証用OU」の中に置いてもダメなわけです。)過去にハマった事があります。

デフォルトでは、Default Domain PolicyといったGPOの中にアカウントポリシーが定義がされています。このGPOを編集してアカウントポリシーを定義することになります。ドメインユーザー全てに同じ設定が適用されます。もちろんドメイン直下であればOKなので新しいGPOを作成しても良いです。その場合は、グループポリシーの適用順序(複数のGPOで競合が発生した場合どうなるのか)|RSoPの作成工程を参考にGPOの適用順序に注意してください

ユーザー・グループ毎にパスワードポリシーを設定するには

ドメインにリンクされたGPOのみでしかアカウントポリシーを設定できないとなると、OU毎にアカウントポリシーを設定する事ができません。ということは、ユーザーやグループ毎にパスワードポリシーを設定する事ができないのです。

安心してください、PSO(Password Setting Object)という方法で解決ができます。また、管理人はGPOよりPSOをおススメします。

詳しくは下記の記事をご参照ください。

【AD】パスワードポリシーはPSO(Password Setting Object) がオススメ|GPOとの比較

 

30分で8,000円分のAmazonギフト券を確実にゲットする方法


現在、ITトレンドで普段お使いの業務システムのレビューをするだけで1,000円分のAmazonギフト券が必ず貰えるキャンペーンをやっています。

筆者もレビューを書き30分程度で8,000円分のAmazonギフト券をゲットしました。

5つのレビューを書くと通常の5,000円分のAmazonギフト券に加えて、3,000円分のAmazonギフト券が加算されて8,000円分のAmazonギフト券が貰えます。(1回目のレビュー後に受け取るメールのリンクから2回目以降のレビューを書く必要があります。)

予算が無くなり次第終了となると思われるので早めにITトレンドレビュー投稿フォームにレビューを書いてAmazonギフト券8,000円分をゲットしましょう。詳細は以下のリンクよりご確認ください。

ITトレンド公式サイト Amazonギフト券プレゼントキャンペーンの説明へ