ActiveDirectory 42日間でパスワードの有効期限が切れる問題の回避方法

2016/01/23 Windows

windows-42d-passloss
WindowsのActiveDirectory(以下AD)を利用していて、突然、パスワードの有効期限が切れるというダイアログが出力され、慌てたことはありませんか。
AD環境ではデフォルト、42日間でパスワードの有効期限が切れるというポリシーが有効になるため、42日後にパスワードの有効期限を示す警告が出力されます。
このまま使用していると、以前のパスワードではログインが出来なくなります。
この問題ですが、回避するための設定は二つあります。
本記事では、この二つの設定について紹介していきます。警告が出力されて慌てる前に、是非、ご確認下さい。

スポンサーリンク

1.ユーザーアカウント側での設定で回避

回避するための設定ですが、一つ目は「ActiveDirectoryユーザーとコンピュータ」コンソールからアカウントに対して設定を行う方法です。
各アカウントのプロパティを表示させ、オプションである「パスワードを無期限にする」にチェックを入れると、設定したアカウントのパスワードが無期限に設定されます。
ad_setting1この「パスワードを無期限にする」にチェックを入れた場合、2.の手順で説明するグループポリシーより先に有効化されます。
複数のアカウントに設定したい場合はctrlキーを押した状態で、アカウントを選択しての一括変更も可能です。
この回避方法は、アカウントが追加されると同様の操作が都度、必要となりますので、運用の手間が掛かります。
その為アカウントの追加が発生しない環境にお勧めの回避方法になります。
アカウントの追加が頻繁に発生する環境では、次項で説明する「2.グループポリシーを利用しての回避」を利用することをお勧めします。

2.セキュリティポリシーを利用しての回避

もう一つはActive Directoryの機能であるセキュリティポリシーを利用する方法です。
この回避方法は、ドメインのアカウント全体が適用範囲となりますので、個々に設定する必要がなく、アカウント追加時にも自動的に適用されます。

2-1.パスワードポリシーの変更点

ドメインコントローラーの「グループポリシー管理ツール」から
「Default Domain Policy」を選択し、右クリック「編集」「Windowsの設定」「セキュリティの設定」「パスワードのポリシー」の順に展開してからパスワードの有効期限に関するポリシーを選択して、デフォルトで42日となっている設定を0に変更します
設定変更後、保存することパスワードの有効期限を42から無期限に変更ができます。
ad_setting2

2-2.グループポリシーでのパスワードポリシーについて

Default Domain Policyでの変更以外に、グループポリシーでも変更が出来そうですが、パスワードのポリシーについては、1ドメインで一つしか適用できません。
(Windows Server 2008 からはPSOという機能を利用して複数のパスワードポリシーを適用することができるようになっています。PSOについては別の記事で記載予定です。)
その為、本記事ではDefault Domain Policyを変更する手順を記載しております。
因みにグループポリシーについての詳細と設定手順は「Windows Server 2012 R2でグループポリシーを設定する」に詳しく説明しています。是非、参照して下さい。

本問題は42日後、パスワード変更を求める警告が出力されて初めて気付くことが多いので、事前に確認しておいたほうが良いポイントです。

システムでお困りのお客様

もし、貴社で、

  • サポート切れのサーバやネットワーク機器の入れ替えをしたいが、どうしたらよいかわからない
  • サーバやネットワークの管理を行う社員がいないため困っている
  • 業務に利用している機器のセキュリティが大丈夫か心配
  • 機器の障害で、業務への影響が発生している
  • 社内の要望に対して、どのようなシステムを導入したらよいか解らない

など、サーバーやネットワーク、セキュリティでお悩みの方、新規のシステム導入を検討中の方。
多くのシステム構築を行い、成功させてきた実績をもつ弊社が、その問題を解決します。
お気軽にお問い合わせ頂き、貴社の問題解決にお役立てください。

お問い合わせ・ご相談はこちらから

Facebookでのご購読が便利です。

Twitter・Feedlyでもご購読できます。

Twitterでフォローする Feedlyでフォローする

関連する情報

group-policy

Windows Server 2012 R2でグループポリシーを設定する

ここ最近、Active Directoryを構築する案件が増えています。 Active Dir

win2008-sysprep-top

Windows Server 2008 R2で仮想マシンを初期化、sysprepの実行手順

仮想化環境(ここでは主にVMWare ESXiやマイクロソフトのHyper-Vなどのhyperv

dns-reverse

Active Directoryをインストールした後に、必要なDNSの逆引きを設定する

「Windows Server 2012 R2へActive Directoryをインストール・

2008-C-drive

Windows Server 2008 R2でCドライブの空き容量を確保する

ここ最近、サーバOSとしてWindows Server 2008 R2を使うことも少しずつ減って

windows-wan-slow

Windowsを利用していてWAN越しのファイル共有が遅い場合の検討事項

先日、弊社のお客様より、インターネットVPN経由(WAN越し)でファイルサーバへアクセスした場合

Windows-logon-logoff

グループポリシーとログオンスクリプトでログオン・ログオフ時間を記録する。

監査法人による監査や、クライアントの業務管理でActive Directory上のユーザーアカウ

numlock-unlock-problem

ノートPCを起動時にnumlockが有効になってしまう場合の対処

先日、少し変わったことがノートPCで発生しました。 WindowsXPのノートPCですが、起動

ad-dsadd

CSVを利用してActive Directoryにユーザーを一括登録するコマンド

WindowsのActive Directoryに一括してユーザーを追加したい場合がありますよね

activedirectory-first

Windows Server 2012 R2へActive Directoryをインストール・構成する

以前の記事「Windows server 2012 R2を利用する前に始める10の作業」でWin

vm-win2012-install

Windows Server 2012 R2をインストールする時の手順

前回の記事「VMware Workstation バージョン8 で Windows Server

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

  • スポンサーリンク