PSOとDefault Domain Policyパスワードポリシー

PSOとDefault Domain Policyは同時実装できる

 

（質問）

PSOとDefault Domain Policyパスワードポリシーの同時運用

2. 製品とプラットフォームのバージョン ( エディションを含む) とサービス パック
Windows Server 2008 SP2

3. お問い合わせ内容
Windows 2008 Active Directoryサーバーを導入し、細かい設定が可能なパスワード ポリシー(PSO)を
実装したいと考えています。
Windows 2003まではDefault Domain Policyでドメインに対して、1つのパスワードポリシーのみが有効となりますが、PSOで使用するシャドウグループなどの運用を簡素化するためにDefault Domain
PolicyとPSOの同時実装を検討しています。
PSOとDefault Domain Policyのパスワードポリシーは同時に実装可能なのでしょうか？
また同時に実装可能なのであれば、パスワードポリシーとしての優先順位はどのようになるのでしょうか？

4. 投稿する前に確認した内容
下記Technetの情報を確認しました。
http://technet.microsoft.com/ja-jp/library/bb633158.aspx
PSOについてはRSOPで適用されるパスワードポリシーの優先順位がmsDS-PasswordSettingsPrecedenceで指定することができると認識しています。

5. お問い合わせの目的、回答として提供を希望する内容
・Windows 2008機能レベルでのPSOとDefault Domain Policyのパスワードポリシーは同時実装可能なのか？
・上記が可能であれば、PSOとDefault Domain Policyのパスワードポリシーの優先順位の決め方はどのようになるのか？

よろしくお願いいたします。

 
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

（回答）

○○○○です。

もしかしたらですが、「MSさん(開発元ベンダー)からの正式な回答」がご希望ですか？であるなら、必要な有償パスからお問い合わせください。

普通の人の回答でよい、という前提で答えます。

したのページに全部書いてあります。

http://technet.microsoft.com/ja-jp/library/cc754544(WS.10).aspx

答えとしては、

PSOとDefault Domain Policyは同時実装できます。

まずPSOの適用について検査され、適用されない場合Default Domain Policyの内容が適用されます。

PSOとDefault Domain Policyは仕組みがそもそも違うので、排他的な関係になることはありません。

 

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/6143d4da-b2cb-4d3e-a210-1a19d840fbc2/#7ff7c68a-1cb3-4eb3-8ed4-f7f4791c804a