１．なぜコンピュータアカウントに有効期間が必要なのか パスワードは同じものを使い続けると解読されるリスクが高くなることは理解されていると思います。 そのため、定期的な更新をしましょうということです。 これは、ユーザーアカウント、さらにはADに限らず同じことで定期的にパスワードを変更しましょうという運用にすると思います。 ２．コンピュータアカウントの有効期間の設定を無効にした際にどんなリスクがあるのか 上記のパスワード解読のリスク。 古いバックアップなどが盗難されたなどありましたら、このバックアップが使用され、コンピュータがなりすましにあう可能性のリスクがあると思います。 ＞ADのコンピュータアカウントには有効期間がデフォルトで30日と設定されていますが、30日以上経過した後でも問題なく認証が完了してしまいます。（60日以上でも同様です） パスワードの変更にはドメインコントローラ（以下、DC）とクライアント（以下、PC）間でネゴエーションして変更を行います。 従って30日以上経過しても、PCを立ち上げてDCと通信していなければ、DCとPCで持っているパスワードは同じものです。 ここでPCを起動すると30日以上経過しているため、起動後早い段階でネゴエーションしパスワードを変更する動作になります。 ユーザーでも同じですよね。 パスワード有効期限が10日のユーザーを50日間使用せずその後ログオンした場合、前のパスワードでログオンして、新しいパスワードへの変更が強制される動作になると思います。 ＞これは、コンピュータ側とドメインコントローラ側が持つコンピュータアカウントの情報が変わらないから認証に成功してしまうということでした。 そうですね。正規のコンピュータですから。 上で説明したようにパスワードが同じだからということです。 これが、同じコンピュータ名の偽装されたPCならばパスワードが一致することは無いのでセキュアチャネルが確立できないのでDC-PC間の通信が出来ないことになります。 ＞有効期間の意味が無いように感じます。 パスワードの定期的な変更に意味が無いと考えればその通りですが、リスク軽減としては基本的なことだと思います。