ActiveDirectory 42日間でパスワードの有効期限が切れる問題の回避方法

2018/07/05 Windows

windows-42d-passloss
WindowsのActiveDirectory(以下AD)を利用していて、突然、パスワードの有効期限が切れるというダイアログが出力され、慌てたことはありませんか。
この現象は、Active Directoryのセキュリティ機能であるグループポリシーに含まれる[Default Domain Policy]にパスワードの有効期限を設定する項目があり、デフォルトでは42日後にパスワードの有効期限が切れるという設定が有効になるためです。
この警告が出た後に、パスワードの変更を行わずにユーザーを使用していると、42日後に、以前のパスワードではログインが出来なくなります。(Administratorユーザーだと、困りものですよね。)

スポンサーリンク

さて、この現象についてですが、回避するための設定は以下の2つがあります。

  • ユーザーアカウント側での設定変更
  • グループポリシーのセキュリティポリシーでの対応

2つの設定は、運用している環境によってどちらかを選択するような運用になりますので、本記事では、この2つの設定について紹介していきます。警告が出力されて慌てる前に、是非、ご確認下さい。
なお、設定している環境はWindows Server 2012 R2になりますが、本記事の内容はWindows Server2008やWindows Server2016でも同じように設定を行うことができます。

1.ユーザーアカウント側での設定で回避

パスワードの有効期限を回避するための設定ですが、一つ目は「ActiveDirectoryユーザーとコンピュータ」コンソールから各アカウントの項目に対して設定を行う方法です。
例えば、有効期限を無効に変更したいユーザーアカウントのプロパティを表示させ、オプションである「パスワードを無期限にする」にチェックを入れると、設定したアカウントのパスワードが無期限に設定されます。
ad_setting1この「パスワードを無期限にする」にチェックを入れた場合、項目2.の手順で説明するグループポリシーより先に有効化されます。
複数のアカウントに設定したい場合はctrlキーを押した状態で、アカウントを選択しての一括変更も可能です。この回避方法は、アカウントが追加されると同様の操作が都度、必要となりますので、運用の手間が掛かります。その為アカウントの追加や変更する頻度が少な目のスモールビジネス環境にお勧めの回避方法になります。
アカウントの追加や変更といった作業が頻繁に発生する環境では、次項で説明する「グループポリシーを利用しての回避」を利用することをお勧めします。

スポンサーリンク

2.グループポリシーを利用しての回避

もう一つはActive Directoryの機能であるグループポリシーを利用する方法です。
この回避方法は、ドメインのアカウント全体が適用範囲となりますので、個々に設定する必要がなく、アカウント追加時にも自動的に適用されます。

2-1.パスワードポリシーの変更点

ドメインコントローラーの「グループポリシー管理ツール」から「Default Domain Policy」を選択し、右クリック「編集」「Windowsの設定」「セキュリティの設定」「パスワードのポリシー」の順に展開してからパスワードの有効期限に関するポリシーを選択して、デフォルトで42日となっている設定を0に変更します。設定変更後、保存することパスワードの有効期限を42日から無期限に変更ができます。
ad_setting2

2-2.グループポリシーでのパスワードポリシー設定について

項目.2-1で紹介した”Default Domain Policy”でのパスワードポリシー変更以外に、新規にグループポリシーを作成する形でも運用が出来そうに思えますが、実はパスワードのポリシーについては、1ドメインで1つしか適用できません。その為、本記事ではDefault Domain Policyを変更する手順を記載しております。
※Windows Server 2008 からはPassword Setting Object(PSO)という機能を利用して複数のパスワードポリシーを適用することができるようになっています。PSOについてはWindows Server 2016での記事になりますが
>「Windows Server 2016 で柔軟なパスワードポリシーの作成、PSOによるパスワードポリシーの設定」
で紹介しています。Windows Server 2012以上の環境では、PSOは手軽に設定できるようになっています。
またグループポリシーについての詳細と設定手順は、記事
>「Windows Server 2012 R2でグループポリシーを設定する」
で詳しく説明しています。是非、参照して下さい。
本現象はActive Directoryを導入してから42日後に、突然パスワード変更を求める警告が出力されて初めて気付くことが多いので、事前に確認しておいたほうが良いポイントです。

関連する記事


Facebookでのご購読が便利です。

Twitter・Feedlyでもご購読できます。

Twitterでフォローする Feedlyでフォローする

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

  • スポンサーリンク