Windows Server 2016 で柔軟なパスワードポリシーの作成、PSOによるパスワードポリシーの設定

2018/07/05 Windows, サーバー構築

win2016-ad-pso-top
Active Directoryを導入してパスワードのポリシーを柔軟に設定したいと思ったことはありませんか。Windowsではドメイン環境向けのパスワード設定ポリシーとしてWindows Server 2000からグループポリシー(以下、GPO)が用意されていますが、実はこのGPOはドメイン全体にしか適用できません。
特定のユーザーやグループに設定したいという場合にはGPOではなくPassword Setting Object(以下、PSO)という機能を利用します。

PSOはWindows Server 2008から採用されたパスワードのポリシーを柔軟に設定するための機能で、Windows Server 2012からはこのPSOが設定しやすくなっています。(2008までは専用のツールがなく、ADSIエディタなどで設定を行う必要がありました。)

スポンサーリンク

PSOは、GPOとの共存も可能です。GPOで全体のベースとなるパスワードポリシーを設定して、PSOで特定のグループやユーザーにイレギュラーなパスワードポリシーを設定するという運用が一般的になるかと思います。(通常、GPOよりPSOのほうが優先的に適用される)

今回の記事では特定のグループに属するユーザーにPSOを利用して、パスワードポリシーの設定を行ってみたいと思います。
Active Directoryのユーザーオブジェクトや組織構成が複雑な企業ではパスワードポリシーを個別に設定したいというニーズは多いと思います。是非、設定してみて下さい。

1.PSOを適用する環境

PSOを適用する環境は、以前の記事
>「Windows Server 2016でActive Directoryにドメインコントローラーを追加する。故障や障害に強い構成を作成」
で作成したWindows Server 2016のシングルドメイン環境になります。
おさらいの意味で、もう一度、記事内のWindowsドメイン環境のパラメーターを記載します。(PSOを利用する上ではドメインの機能レベルがある程度、必要となります。ご注意ください)
ドメインコントローラー1台目

  • コンピューター名:WIN2016
  • 役割:FSMO/グローバルカタログ/DNS
  • IPアドレス:192.168.241.25/24

ドメインコントローラー2台目

  • コンピューター名:WIN2016-02
  • 役割:グローバルカタログ/DNS
  • IPアドレス:192.168.241.26/24

ドメイン環境

  • ドメイン名(DNS):2016dom.local
  • ドメイン名 (NetBIOS):2016dom
  • フォレスト・ドメイン機能レベル:WindowsServer2016

※PSOを利用するためにはドメインレベルとしてWindowsServer2008以上が必要になります。
このパラメーターで設定された環境で作業を進めていきます。

2.PSOを適用するグループとユーザー

PSOを適用するテスト用のグループとして”PSOtest_Group”を作成しました。(PSOは適用対象がユーザーとグループになる)
win2016-ad-pso-2-1
なお、PSOを適用できるグループのスコープは”グローバルグループ”になります。
2018-05-17_10h56_19
デフォルトでグループを作成することで”グローバルグループ”として作成されますが、念のために留意してください。
このグループ内には、PSOテスト用のユーザーである”user01”が存在します。
win2016-ad-pso-2-2

3.PSOの設定

ここからは実際にPSOの設定を説明していきます。それ程難しい部分はありませんので、ゆっくりと落ち着いて作業を進めていただければと思います。

3-1.Active Directory管理センターの起動

PSOはActive Directoryの管理ツールである[Active Directory管理センター]から設定を行います。[サーバーマネージャー][-[AD DS]から表示されるサーバー名を右クリックします。表示されるサブメニューから[Active Directory管理センター]を選択します。
win2016-ad-pso-3-1
バナーが表示されます。
win2016-ad-pso-3-1-2
Active Directory管理センターが開きます。
win2016-ad-pso-3-1-3

3-2.PSOコンテナーの表示

[Active Directory管理センター]の左ペインに表示されているドメイン名(本環境では2016dom(ローカル)をクリックします。右ペインに表示されるコンテナーから[System]をダブルクリックします。
win2016-ad-pso-3-2-1
右ペインに[System]コンテナーに含まれるアイテムが表示されます。キーボードの”p”キーをクリックすると[Password Setting Container]まで移動しますので、これをダブルクリックします。
win2016-ad-pso-3-2-2
左ペインに表示された[Password Setting Container]が表示されており、右ペインは空白になっています。
win2016-ad-pso-3-2-3
右ペインの空白の部分にアイコンを合わせて右クリックするとサブメニューが表示されます。[新規]-[パスワードの設定]をクリックします。
win2016-ad-pso-3-2-4

3-3.PSOの設定

[パスワードの設定の作成]ウィザードが開きます。
win2016-ad-pso-3-3-1
ここで要件に応じたなパスワードポリシーを設定します。赤いアスタリスク(*)が付いている項目は設定が必須な項目です。
ここでは、以下の内容でPSOの設定を行います。

スポンサーリンク

  • パスワードの有効期限は無し(無期限)
  • 最低限のパスワード長として12文字以上
  • その他の設定はデフォルトのまま

設定が必須となっている項目と、要件に合わせて以下の項目をデフォルトから変更しました。
PSOの基本設定

  • ポリシーの名前(任意のポリシー名を指定):12over_policy
  • 優先順位(ポリシーが複数ある場合の優先順位、値が小さいほうが優先される):1
  • パスワードの最小の長さを適用する(最短のパスワード長を設定)
  • パスワードの最小の長さ(最短パスワードの必要となる文字数):12

パスワード有効期間オプション

  • 最小パスワード有効期間を適用する(次回のパスワード変更ができるまでの期間):チェックを外します。
  • 最大パスワード有効期間を適用する(パスワードの有効期間):チェックを外します。

その他にいくつかの項目がありますが、ここではデフォルトにしています。
win2016-ad-pso-3-3-2
これでパスワードポリシーの設定は完了です。

3-4.PSOの適用先設定

続いて、[直接の適用先]を設定します。この項目では3-3.で作成したPSOの適用先を指定します。[追加]ボタンをクリックします。
win2016-ad-pso-3-3-3
PSOの適用先はユーザーかグループを選択できます。本記事ではPSOの適用先として”PSOtest_Group”を作成していますので、このグループを選択します。選択後、[OK]をクリックします。
win2016-ad-pso-3-4-1
以下の画面のように[パスワードの設定]と[直接の適用先]のに設定した内容が表示されます。
win2016-ad-pso-3-4-2
表示された内容に間違いがないことを確認して[OK]をクリックします。

作成が完了すると作成したポリシーが[Password Settings Container]画面の中央ペインに表示されます。
win2016-ad-pso-3-4-3

4.PSOの適用確認

項目3.まででPSOの作成が完了しましたので、本章ではPSOが正常に適用されているかの確認手順を紹介します。
PSOが適用されているかの確認はActive Directory管理センターからアクセスできるユーザーの拡張プロパティから確認できます。ここでは確認手順について記載します。

4-1.ユーザーのプロパティを表示

[Active Directory管理センター]のトップ画面、右下にある[グローバル検索]欄にユーザー名(グループ名はNGです)を入力します。ここでは”PSOtest_Group”のメンバーである”user01”を入力しています。
win2016-ad-pso-4-1-1
グローバル検索ウィンドウに、検索結果が表示されます。”user01”が表示されています。
win2016-ad-pso-4-1-2
”user01”を右クリックして、表示されたメニューから[プロパティ]を選択します。
win2016-ad-pso-4-1-3
”user01”のプロパティが表示されます。左ペインに表示されているメニューから[拡張]をクリックします。
win2016-ad-pso-4-1-4

4-2.属性エディターからの確認

拡張画面が開きます。[属性エディター]タブをクリックします。
win2016-ad-pso-4-2-1
[属性エディター]画面の下部に表示されている[フィルター]をクリックします。
win2016-ad-pso-4-2-2
フィルターの[構築済み]をクリックして、チェックを入れます。
win2016-ad-pso-4-2-3
属性をスクロールさせて、”msDS-ResultansPSO”項目を探します。”msDS-ResultansPSO”の値に作成したPSO名(ここでは12over_policy)が含まれていれば設定は正常に完了しています。
win2016-ad-pso-4-2-4
これでは確認は完了です。

5.PSOが有効になるタイミング

尚、本設定が有効になるのは次回のパスワード変更時からになります。既存のユーザーには次回のパスワード変更までPSOは有効にならないため、直ぐにPSOを適用したい場合は

  • 次回のログイン時に強制的にパスワードの変更が必要になるように設定する。
  • 管理者がActive Directoryユーザーとコンピューターなどから、パスワードを変更する。

といった作業が必要になります。この点のみ注意してください。

6.まとめ

本記事ではActive Directoryの強力な機能の一つであるPSOの設定手順について説明しました。GPOとPSOを組み合わせることで、殆どの環境では過不足のないパスワードポリシーを設定できると思います。現在、パスワードポリシーで頭を悩ませているのであれば、是非、利用していただきたい機能の一つです。

関連する記事


システムでお困りのお客様

もし、貴社で、

  • サポート切れのサーバやネットワーク機器の入れ替えをしたいが、どうしたらよいかわからない
  • サーバやネットワークの管理を行う社員がいないため困っている
  • 業務に利用している機器のセキュリティが大丈夫か心配
  • 機器の障害で、業務への影響が発生している
  • 社内の要望に対して、どのようなシステムを導入したらよいか解らない

など、サーバーやネットワーク、セキュリティでお悩みの方、新規のシステム導入を検討中の方。
多くのシステム構築を行い、成功させてきた実績をもつ弊社が、その問題を解決します。
お気軽にお問い合わせ頂き、貴社の問題解決にお役立てください。

お問い合わせ・ご相談はこちらから

Facebookでのご購読が便利です。

Twitter・Feedlyでもご購読できます。

Twitterでフォローする Feedlyでフォローする

Comment

  1. sueishaq より:

    erp system in malaysia …we prefer to honor quite a few other web web-sites on the web, even though they aren?t linked to us, by linking to them. Underneath are some webpages worth checking out…

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

  • スポンサーリンク