WindowsのActive Directory(以下AD)環境で、突然、「パスワードの有効期限が切れる」というダイアログが出力され、慌てたことはありませんか。この現象は、Active Directoryのセキュリティ機能であるグループポリシーに含まれる"Default Domain Policy"にパスワードの有効期限を設定する項目があり、デフォルトでパスワードの有効期限が42日間に設定されているためです。この警告が出た後に、パスワードの変更を行わずに使用していると、42日後に以前のパスワードではログインが出来なくなります。(Administratorユーザーだと、困りものですよね。)
2019年にMicrosoftは、ユーザーに定期的に自分のログインパスワードを変更することを要求するWindowsのポリシーを廃止することを提案しています。
さて、この現象についてですが、回避するための設定は以下の2点があります。
- ユーザーアカウント側での設定変更
- グループポリシーのセキュリティポリシーでの対応
2つの設定は、運用している環境によってどちらかを選択するような運用になりますので、本記事では、この2つの設定について紹介していきます。警告が出力されて慌てる前に、是非、ご確認下さい。
ポイント
設定している環境はWindows Server 2016になりますが、本記事の内容はWindows Server2008やWindows Server2012(R2を含む)でも同じように設定を行うことができます。
1. ユーザーアカウント側での設定で回避
パスワードの有効期限を回避するための設定ですが、一つ目は「ActiveDirectoryユーザーとコンピュータ」コンソールから各アカウントの項目に対して設定を行う方法です。本章ではユーザーアカウント側で設定を変更するための手順を紹介します。
1-1. Active Directory ユーザーとコンピューターの起動
Windows Serverへログインして、ユーザーアカウントを管理するためのツール「Active Directory ユーザーとコンピューター」を起動します。「Windowsメニュー」「Windows管理ツール」「Active Directory ユーザーとコンピューター」を選択します。
Active Directory ユーザーとコンピューターが起動します。
1-2. ユーザーアカウントの選択
「Active Directory ユーザーとコンピューター」から設定を変更したいユーザーアカウントを選択します。本記事の環境では「ドメイン名」「Users」以下にある"rem-test"アカウントを選択しています。
1-3. パスワードを無期限に変更
有効期限を無効に変更したいユーザーアカウントを右クリックして「プロパティ」からプロパティを表示させ、「アカウント」タブ内にある「アカウント オプション」から「パスワードを無期限にする」項目にチェックを入れると、設定したユーザーアカウントのパスワードが無期限に設定されます。
この「パスワードを無期限にする」にチェックを入れた場合、項目2. の手順で説明するグループポリシーより先に有効化されます。
1-4. 複数のユーザーアカウントを変更する場合
複数のユーザーアカウントに同様の設定を行うことも可能です。
以下のようにCTRLキーを押しながらユーザーアカウントを選択することで、複数のユーザーアカウントを選択することができます。
複数のアカウントが選択された状態で、「プロパティ」をクリックすると、複数のアカウントを設定変更するためのプロパティ画面が表示されます。
「アカウント」タブをクリックして「アカウント オプション」から「パスワードを無期限にする」にチェックを入れることで、複数アカウントを一括で変更することができます。チェック欄は二つありますので、両方にチェックを入れます。
「OK」をクリックすることで選択されたユーザーアカウントの設定が変更されます。
1-5. ユーザーアカウント側で設定変更を行う場合の留意点
ユーザーアカウント側での設定による、回避方法はアカウントが追加されると同様の操作が都度、必要となりますので運用の手間が掛かります。その為アカウントの追加や変更する頻度が少な目のスモールビジネス環境にお勧めの回避方法になります。
アカウントの追加や変更といった作業が頻繁に発生する環境では、次項で説明する「グループポリシーを利用しての回避」を利用することをお勧めします。
2. グループポリシーを利用しての回避
もう一つはActive Directoryの機能であるグループポリシーを利用する方法です。
この回避方法は、ドメインのアカウント全体が適用範囲となりますので、個々に設定する必要がなく、アカウント追加時にも自動的に適用されます。
2-1. グループポリシーの管理ツールを起動
Windows Serverへログインして、グループポリシーを管理するためのツール「グループポリシーの管理」を起動します。「Windowsメニュー」「Windows管理ツール」「グループポリシーの管理」を選択します。
グループポリシー管理ツールが起動します。
2-2. Default Domain Policyの選択
ドメイン全体のパスワードを管理するためのポリシーは「Default Domain Policy」に含まれています。「グループポリシーの管理」ツールから「フォレスト」「ドメイン」「ドメイン名」と展開すると「Default Domain Policy」が表示されます。
2-3. Default Domain Policyの編集画面
「Default Domain Policy」を選択し、右クリックしてサブメニューから「編集」を選択します。
「Default Domain Policy」の編集画面が表示されます。
2-4. パスワードポリシーの編集
「コンピューターの構成」「ポリシー」「Windowsの設定」「セキュリティの設定」「パスワードのポリシー」の順に展開します。
「パスワードの有効期間」ポリシーを選択して、デフォルトで42日となっている設定を0に変更します
設定変更後、保存することでパスワードの有効期限を42日から無期限に変更ができます。
3. まとめ
項目2.で紹介した”Default Domain Policy”でのパスワードポリシー変更以外に、新規にグループポリシーを作成する形でも運用が出来そうに思えますが、実はパスワードのポリシーについては、1ドメインで1つしか適用できません。その為、本記事ではDefault Domain Policyを変更する手順を記載しております。
※Windows Server 2008 からはPassword Setting Object(PSO)という機能を利用して複数のパスワードポリシーを適用することができるようになっています。PSOについてはWindows Server 2016での記事になりますが
-
-
Windows Server 2016 のActive DirectoryにPSOでパスワードポリシーを設定
Active Directoryを導入してパスワードのポリシーを柔軟に設定したいと思ったことはありませんか。Windowsではドメイン環境向けのパスワード設定ポリシーとしてWindows Server 2000からグループポリシー(以下、G ...
で紹介しています。Windows Server 2012以上の環境では、PSOは手軽に設定できるようになっています。
またグループポリシーについての詳細と設定手順は、記事
-
-
Windows ServerのActive Directory環境でグループポリシーを設定する方法
こんにちは、レムシステムITエンジニアのKomura(@system_kom)です。 ここ最近、当社ではActive Directoryを構築する案件が増えています。Active Directoryはリソースの一括管理に強力な機能を備えてい ...
で詳しく説明しています。是非、参照して下さい。
本現象はActive Directoryを導入してから42日後に、突然パスワード変更を求める警告が出力されて初めて気付くことが多いので、事前に確認しておいたほうが良いポイントです。
