パスワードポリシーの優先順位

（きめ細かいパスワードポリシー（ＰＳＯ）を作成するための条件）

１．PSO設定に専用ツールはないので、ADSIエディタまたはLDIFDEを使用する

２．PSOはユーザーまたはグローバルグループにのみ適用できる

３．ドメイン機能レベルがWindows Server 2008でなくてはいけない

 

（パスワードポリシーの優先順位）

１．PSOのユーザー

２．PSOのグループ

３．ドメイン配下のGPO（Default Domain Policy）

 

（PSOの適応状態の確認コマンド）

dsget user <ユーザー DN> -effectivepso

 

（質問）

Windows Server 2008:パスワードの有効期限は、Default Domain PolicyとADSIeditで設定したPSOのどちらが有効でしょうか。

 

Windows Server 2008ベースのファイルサーバ及びActive Directoryを運用しているのですが、以下内容にて原因がお分かりになる方がいらっしゃいましたら、ご教授いただきたく宜しくお願いいたします。

 

 【質問内容】

adsiedit.mscを使ったPSOの設定で「msDS-MaximumPasswordAge 0」とし、ドメイン配下の全てのグループにリンクして運用しているのですが、しばらくファイルサーバにアクセスしないとパスワードがはねられるという問い合わせがあり、「パスワードの有効期間４２日」が悪さをしているのではないかと指摘されました。gpedit.mscで確認できるパスワードの有効期間は「４２日」となっています。

 

PSOを設定した場合は、Default Domain Policyで制御されていたパスワードポリシーがPSOの制御にシフトされると理解していたのですが、やはり何か悪さをしているのでしょうか。

 

また、このような現象を起こさないためには、全アカウントのアカウントオプションで「パスワードを無期限にする」をチェックしておいたほうがよいのでしょうか。

 

そもそもの理解が間違っておりましたら、合わせてご指摘いただけると大変助かります。

宜しくお願いいたします。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－
（回答）

まず、「きめ細かいパスワードポリシー」（以下、PSO）の使用方法がおかしいと思われます。

ドメイン配下のすべてのユーザーに対する設定であれば、Default Domain Policyで設定すればよく、PSOは特定のグループ（もしくはユーザー）に対して設定を行うものです。

さて、PSOを使用するための条件としては、ドメイン機能レベルがWindows 2008でなければなりません。

 

そこでパスワードポリシーの優先順位は以下の通りです。

 

PSOのユーザー

PSOのグループ

ドメイン配下のGPO（Default Domain Policy）

 

ここで重要なことはユーザーに対して設定されるパスワードポリシーとして適用できるPSOは１つだけです。

 

次のコマンドを使うことによってPSOの適応状態を確認することができます。

 

dsget user <ユーザーの識別名＞ –effectivepso

 

また私のブログにも情報がまとめてありますのでよろしければご覧ください。

きめ細かいパスワードポリシー（PSO）の実装

 

以上、参考になれば幸いです。

 

（MSのページ）

http://technet.microsoft.com/ja-jp/library/cc770842(WS.10).aspx

 

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/e0be9e17-8141-4b83-a71a-7e5997a69708/#4ae6c08f-bd36-41dc-b113-a79bf8bd5171