- ベストアンサー
ADサーバのクライアントPCのパスワードで、有効期限の何日か前に変更を催促する設定が有効にならない
ADサーバで構築したドメインに参加しているクライアントPCのパスワードに有効期限を設定しました。 また、有効期限の何日前にパスワード変更を催促するかの設定も行いました。 以下の設定を行いました。 <パスワード有効期限の設定> 1.Default Domain Policyの編集で、グループポリシーオブジェクトエディターを開きます。 2.「コンピュータの構成」→「Windowsの設定」→「セキュリティの設定」→「ローカルポリシー」→「パスワードのポリシー」 3."パスワードの有効期限"を10日間に設定 <パスワード変更事前催促の設定> 1.Default Domain Policyの編集で、グループポリシーオブジェクトエディターを開きます。 2.「コンピュータの構成」→「Windowsの設定」→「セキュリティの設定」→「ローカルポリシー」→「セキュリティオプション」 3."パスワードが無効になる前にユーザに変更を促す"を3日前に設定 以上の設定で、クライアントPCのパスワードをまず変更しました。 その後、再ログインを試みると 「パスワード有効期限まであと9日です。パスワードを変更しますか?」 というメッセージが表示されます。 ADサーバの再起動や、当該クライアントPCを再起動しても、同様のメッセージがでます。 上記設定から7日経過した後に催促メッセージが出るべきだと思うのですが。。 どのようにしたら、催促メッセージを有効にできるのでしょうか?
- aeta
- お礼率33% (23/68)
- その他(ITシステム運用・管理)
- 回答数3
- ありがとう数2
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
ADの"ローカルポリシー"を設定していますよね。 それでクライアントPCで確認している。 だから、ドメインのアカウントはADに登録されているから、そのパスワードの有効期間は、ADのローカルポリシーによって10日間になります。 で、クライアントでドメインへログオンすると、クライアントPCのローカルポリシーでは、"パスワードが無効になる前にユーザに変更を促す"はデフォルトの14日間になっていますから、10日は14日より短いので >「パスワード有効期限まであと9日です。パスワードを変更しますか?」 >というメッセージが表示されます。 ということになるのではないでしょうか。 試しにクライアントのロ-カルポリシーを変更したら、このメッセージは出なくなりました。 おそらく、そのアカウントで直接ADにログオンしたら『3日間』というのが適用されるのではないでしょうか。
その他の回答 (2)
- ganko3
- ベストアンサー率67% (118/174)
サーバーOSのことは全然知らないのですが、パスワード変更期日のことを問題にしていて、サーバーの時計とクライアントの時計が合っていないのはまずいのではないでしょうか。まずサーバーとクライアントの時刻合わせをしなければならないと思います。
補足
ご回答ありがとうございます。 説明不足でした。 ADサーバ環境ですので、ドメインに参加しているクライアントPCは必ず常にサーバの時計と同期をとっています。 したがって、サーバーとクライアントPCの時刻はあっています。
- ganko3
- ベストアンサー率67% (118/174)
なぜか分かりませんが次のようにしたらできました。 「パスワードのポリシー」で「パスワードの変更禁止期間」に一旦「7」を入れる。 その後「0」に戻してもよいようです。 Vista Ultimateで確認しました。
補足
ご回答ありがとうございます。 まず、現在の設定は以下の通りです。 ADサーバ:Windows 2003 server クライアントPC:XP Pro <設定状況> パスワード文字長さ:8文字以上 パスワード有効期限:10日 パスワード変更禁止期間:0日 パスワード履歴回数:5回 何日前にパスワード変更の催促を行うか:3日前 ganko3様のご指摘にならい以下を行いました。 結論から申しますと、まだ成功してはおりませんが以下の手順を行いました。 1.パスワード変更禁止期間を7日にする。 2.クライアントPC再ログイン →失敗(変更催促の同様のメッセージが出る) 3.パスワード変更禁止期間を0日にする。 4.クライアントPC再ログイン →失敗 5.ヘルプにてパスワード履歴回数が有効の場合、変更禁止期間を1日以上にしなければならないという表記を見つけたため、今度はパスワード変更禁止期間を1日にする。 6.クライアントPC再ログイン →失敗 7.ADサーバを再起動 8.クライアントPC再ログイン →失敗 他に気になる点として以下をあげさせていただきます。 ・ライセンス認証を行っていないWindows 2003 serverを使っている。 ・ドメイン構築、クライアントPC参加、セキュリティーポリシー設定後、何度かADサーバのシステム時計を早めたりした。現在は8/27となっており、クライアントPCのパスワード最終更新日が8/26となっている。 以上、何か心当たりがございましたら教えてください。
お礼
”クライアントPCのローカルポリシー”の意味ですが、ローカルGPOと呼ばれることもあるポリシーのことですね? クライアントPCのポリシーを確認しましたが、おっしゃるとおり、14日となっていました。 そこで、また質問なのですがGPOの優先順位に関してです。 資料を見ると、優先順位は以下のとおりと認識しております。 (低) ローカルGPO ↓ サイトGPO ↓ ドメインGPO ↓ OU GPO (高) つまり、ローカルGPOよりもドメインGPOのほうが優先されるはずです。 ですが、今回はローカルGPOが優先されたことで3日ではなく14日が採用されました。 これはなぜでしょうか。。
補足
"ADのローカルポリシー"、"クライアントPCのローカルポリシー"はそれぞれどのような意味なのでしょうか?? ドメインアカウントに対してのポリシーと、ドメインに参加していなくてあるPCに対してだけ適用されるポリシー、という意味でしょうか? 後者に関しては、そのPCで作成したユーザ全員に対して適用されるポリシーなおかつ、ドメインのポリシーよりも優先されるということでしょうか? >クライアントPCのローカルポリシーでは、 >"パスワードが無効になる前にユーザに変更を促す"は >デフォルトの14日間になっています とのことですが、この設定はどこで確認できますでしょうか?? ポリシーの概念自体が理解できていないようで大変お恥ずかしいのですが、教えていただけると大変うれしいです。。 また、今回の設定の手順をさらに具体的に申しますと、 1.GPMCをインストール 2.GPMCを開いて、ドメインのツリー表示画面から「フォレスト」→「ドメイン」→「ABC.local」直下のDefault Domain Policyを右クリック 3.メニューから「編集」をクリック 4.グループポリシーオブジェクトエディタが開きます。 5.以降、はじめの投稿内容と同じです。 以上です。