ActiveDirectory 42日間でパスワードの有効期限が切れる問題の回避方法


WindowsのActive Directory(以下AD)環境で、突然、「パスワードの有効期限が切れる」というダイアログが出力され、慌てたことはありませんか。
この現象は、Active Directoryのセキュリティ機能であるグループポリシーに含まれる“Default Domain Policy”にパスワードの有効期限を設定する項目があり、デフォルトでパスワードの有効期限が42日間に設定されているためです。

スポンサーリンク

この警告が出た後に、パスワードの変更を行わずにユーザーを使用していると42日後に、以前のパスワードではログインが出来なくなります。(Administratorユーザーだと、困りものですよね。)
2019年6月27日追記
2019年に Microsoftは、ユーザーに定期的に自分のログインパスワードを変更することを要求するWindowsのポリシーを廃止することを提案 しています。
参考:「マイクロソフトはパスワードを期限切れにするポリシーの廃止を検討」
さて、この現象についてですが、回避するための設定は以下の2つがあります。

  • ユーザーアカウント側での設定変更
  • グループポリシーのセキュリティポリシーでの対応

2つの設定は、運用している環境によってどちらかを選択するような運用になりますので、本記事では、この2つの設定について紹介していきます。警告が出力されて慌てる前に、是非、ご確認下さい。
なお、 設定している環境はWindows Server 2016になりますが、本記事の内容はWindows Server2008やWindows Server2012(R2を含む)でも同じように設定を行うことができます。 

1.ユーザーアカウント側での設定で回避

パスワードの有効期限を回避するための設定ですが、一つ目は「ActiveDirectoryユーザーとコンピュータ」コンソールから各アカウントの項目に対して設定を行う方法です。本章ではユーザーアカウント側で設定を変更するための手順を紹介します。

1-1.Active Directory ユーザーとコンピューターの起動

Windows Serverへログインして、ユーザーアカウントを管理するためのツール「Active Directory ユーザーとコンピューター」を起動します。「Windowsメニュー」「Windows管理ツール」「Active Directory ユーザーとコンピューター」を選択します。
ad-password-42-loss-1-1
Active Directory ユーザーとコンピューターが起動します。
ad-password-42-loss-1-1-2

1-2.ユーザーアカウントの選択

「Active Directory ユーザーとコンピューター」から設定を変更したいユーザーアカウントを選択します。本記事の環境では「ドメイン名」「Users」以下にある”rem-test”アカウントを選択しています。
ad-password-42-loss-1-2-1

1-3.パスワードを無期限に変更

有効期限を無効に変更したいユーザーアカウントを右クリックして「プロパティ」からプロパティを表示させ、「アカウント」タブ内にある「アカウント オプション」から「パスワードを無期限にする」項目にチェックを入れると、設定したユーザーアカウントのパスワードが無期限に設定されます。
ad-password-42-loss-1-3
この「パスワードを無期限にする」にチェックを入れた場合、項目2.の手順で説明するグループポリシーより先に有効化されます。

1-4.複数のユーザーアカウントを変更する場合

複数のユーザーアカウントに同様の設定を行うことも可能です。
以下のようにCTRLキーを押しながらユーザーアカウントを選択することで、複数のユーザーアカウントを選択することができます。
ad-password-42-loss-1-4-1
複数のアカウントが選択された状態で、「プロパティ」をクリックすると、複数のアカウントを設定変更するためのプロパティ画面が表示されます。
ad-password-42-loss-1-4-2
「アカウント」タブをクリックして「アカウント オプション」から「パスワードを無期限にする」にチェックを入れることで、複数アカウントを一括で変更することができます。チェック欄は二つありますので、両方にチェックを入れます。
「OK」をクリックすることで選択されたユーザーアカウントの設定が変更されます。

スポンサーリンク

1-5.ユーザーアカウント側で設定変更を行う場合の留意点

ユーザーアカウント側での設定による、回避方法はアカウントが追加されると同様の操作が都度、必要となりますので運用の手間が掛かります。 その為アカウントの追加や変更する頻度が少な目のスモールビジネス環境にお勧めの回避方法になります。  アカウントの追加や変更といった作業が頻繁に発生する環境では、次項で説明する「グループポリシーを利用しての回避」を利用することをお勧めします。

2.グループポリシーを利用しての回避

もう一つはActive Directoryの機能であるグループポリシーを利用する方法です。
この回避方法は、ドメインのアカウント全体が適用範囲となりますので、個々に設定する必要がなく、アカウント追加時にも自動的に適用されます。

2-1.グループポリシーの管理ツールを起動

Windows Serverへログインして、グループポリシーを管理するためのツール「グループポリシーの管理」を起動します。「Windowsメニュー」「Windows管理ツール」「グループポリシーの管理」を選択します。
ad-password-42-loss-2-1
グループポリシー管理ツールが起動します。
ad-password-42-loss-2-1-2

2-2.Default Domain Policyの選択

ドメイン全体のパスワードを管理するためのポリシーは「Default Domain Policy」に含まれています。「グループポリシーの管理」ツールから「フォレスト」「ドメイン」「ドメイン名」と展開すると「Default Domain Policy」が表示されます。
ad-password-42-loss-2-2

2-3.Default Domain Policyの編集画面

「Default Domain Policy」を選択し、右クリックしてサブメニューから「編集」を選択します。ad-password-42-loss-2-3-1
「Default Domain Policy」の編集画面が表示されます。
ad-password-42-loss-2-3-2

2-4.パスワードポリシーの編集

「コンピューターの構成」「ポリシー」「Windowsの設定」「セキュリティの設定」「パスワードのポリシー」の順に展開します。
ad-password-42-loss-2-4-1
「パスワードの有効期間」ポリシーを選択して、デフォルトで42日となっている設定を0に変更します
ad-password-42-loss-2-4-2
設定変更後、保存することでパスワードの有効期限を42日から無期限に変更ができます。

3.まとめ

項目.2で紹介した”Default Domain Policy”でのパスワードポリシー変更以外に、新規にグループポリシーを作成する形でも運用が出来そうに思えますが、実はパスワードのポリシーについては、1ドメインで1つしか適用できません。その為、本記事ではDefault Domain Policyを変更する手順を記載しております。
※Windows Server 2008 からはPassword Setting Object(PSO)という機能を利用して複数のパスワードポリシーを適用することができるようになっています。PSOについてはWindows Server 2016での記事になりますが

で紹介しています。Windows Server 2012以上の環境では、PSOは手軽に設定できるようになっています。
またグループポリシーについての詳細と設定手順は、記事

で詳しく説明しています。是非、参照して下さい。
本現象はActive Directoryを導入してから42日後に、突然パスワード変更を求める警告が出力されて初めて気付くことが多いので、事前に確認しておいたほうが良いポイントです。

関連する記事


Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

  • スポンサーリンク