Windows system >> Windowsの知識 >  >> Windows Serverシステムのチュートリアル >> Windows Serverのよくある質問 >> Windows Server 2008での正確なパスワードポリシーとアカウントロックアウトポリシー

Windows Server 2008での正確なパスワードポリシーとアカウントロックアウトポリシー

  
の設定

Windows 2000およびWindows 2003のActive Directoryドメインでは、デフォルトドメインポリシー内のすべてのユーザーにパスワードポリシーとアカウントロックアウトポリシーを適用することしかできません。一部の特別なユーザーに対して異なるパスワードおよびアカウントロックアウトポリシーを開発する必要がある場合は、前のドメインでは1つのパスワードおよびアカウントロックアウトポリシーしか使用できないため、新しいドメインを作成する方法しか使用できません。

Windows Server 2008 ADDSには、ドメイン内に複数のパスワードポリシーを定義してユーザーまたはグローバルセキュリティグループに適用できる、精密パスワードポリシーと呼ばれる新機能があります。 OUでは使用されません。この機能を使用するには、ドメイン用のパスワード設定オブジェクト(PSO)を作成するためにADSIEditエディタを使用する必要があります。次に、具体的な操作について説明します。

まず08DCでADSIEditエディタを開きます。下のように場所を探します。

[CN =パスワード設定コンテナ]ノードを右クリックして[新規]を選択し、下図のようにポップアップウィンドウで[msDS-PasswordSettings]カテゴリを選択します。

次のように、次のウィンドウに新しいパスワード設定オブジェクトの名前を入力します。

ポップアップウィンドウのmsDS-PasswordSettingsPrecedenceプロパティに値を設定します。これはドメインの優先順位設定です。ユーザーに直接リンクされている複数のパスワードポリシーがあり、下に示すように、最も低い優先度の値を持つポリシーが適用されます。

ポップアップウィンドウにはmsDS-PasswordReversibleEncryptionEnabledがあります。ブール値を設定すると、FALSE /TRUEを設定できます。属性は、グループポリシーの「パスワードを可逆暗号化で保存する」に対応します。設定後、FALSEを設定し、「次へ」をクリックします。表示:

ポップアップウィンドウで、msDS-PasswordHistoryLength属性の値を設定します。これは、グループポリシーの[パスワードの履歴を強制]設定に対応しています。

ポップアップウィンドウのmsDS-PasswordComplexityEnabledプロパティにブール値を設定しますグループポリシーのパスワードに対応するFALSE /TRUEを設定できます。下に示すように、複雑さの要件を満たし、ここで有効に設定し、[次へ]をクリックします。

ポップアップウィンドウで、msDS-MinimumPasswordLengthプロパティに使用可能な値の範囲を設定します。 0〜255の場合、属性はグループポリシーの「パスワードの最小文字数」設定に対応します入力ボックスをクリックし、「次へ」をクリックして次の図を表示します。

ポップアップポートのmsDS-MinimumPasswordAge属性の値を設定しますこの属性は、グループポリシーの最小パスワード存続期間に対応し、時間形式は "00:00:00:00"で、1日に設定されます。 00:00:00、設定後、次のように[次へ]をクリックします。

ポップアップウィンドウで、msDS-MaximumPasswordAge属性にグループポリシーに対応する値を設定します。パスワードの最大使用期間は'、時間形式は上記と同じです。設定後、次のように[次へ]をクリックします。

ポップアップウィンドウのmsDS-LockoutThresholdプロパティに値を設定します。グループポリシーでは、対応するアカウントロックのしきい値が0〜65535に設定されています設定後、下のように[次へ]をクリックします。

ポップアップウィンドウで、msDS-LockoutObservationWindowこの属性は、グループポリシーの「アカウントロックカウンタのリセット」の設定に対応する、以前に設定した時刻形式と同じ形式で時刻値を設定します。設定後、「'次へ」をクリックします。次の図に示すように:

ポップアップウィンドウで、msDS-LockoutDuration属性の時間値を上記と同じ形式に設定しますこの属性は、グループポリシーの[アカウントロック時間]設定に対応しています。次に、次のように'を入力します。

以下に示すように、完了ウィンドウで[削除]をクリックします。

この時点で、カスタムパスワードとアカウントロックアウト方法すでに作成されていますが、いくつかのアカウントにどのように適用しますか?次の簡単な手順も実行する必要があります。

上記の操作の後に返されるADSIEditで、作成したパスワード設定オブジェクトオブジェクトをダブルクリックし、ポップアッププロパティ編集ウィンドウでmsDS-PSOAppliesTo属性を見つけます。次のように[編集]をクリックします。

ポップアップウィンドウで、このパスワード設定オブジェクトが適用されるターゲットオブジェクトを選択しますここで、事前に作成したテスト用グローバルセキュリティグループを選択し、完成したものを選択します。次に示すように、[OK]をクリックします。

この手順では、ポリシーがテストグループのメンバーに属している限り、上記で選択したグループに適用され、上記で作成したパスワードが適用されます。そしてアカウントロックアウト戦略は、下の結果をテストするためにADUCを開き、最初にテストグループに属さないユーザーをテストし、user1アカウントを右クリックし、パスワードの再設定を選択し、123を入力してOKをクリックします。

  • No
Copyright © Windowsの知識 All Rights Reserved