Win 2008の正確なパスワードポリシーとアカウントロックアウトポリシー

Windows 2000およびWindows 2003のActive Directoryドメインでは、必要に応じて、デフォルトドメインポリシーのすべてのユーザーに対してパスワードポリシーとアカウントロックアウトポリシーを適用できます。前のドメインでは1つのパスワードとアカウントロックアウトポリシーしか使用できないため、新しいドメインを作成する方法しか使用できません。

Windows Server 2008 ADDSには、精密パスワードポリシーと呼ばれる新機能があります。これを使用して、ドメイン内に複数のパスワードポリシーを定義し、それをユーザーまたはグローバルセキュリティグループに適用できます。 OUでは使用されません。この機能を使用するには、ドメイン用のパスワード設定オブジェクト（PSO）を作成するためにADSIEditエディタを使用する必要があります。具体的な操作を次に示します。

まず08DCでADSIEditエディタを開きます。下記のターゲットの場所： "CN =パスワードの設定コンテナー" で

新しい右ノード、ポップアップウィンドウを選択し、選択 "のmsDS-PasswordSettings"すぐにで

ログインで
：以下に示すようにタイプ、以下に示すように、ウィンドウに新しいパスワード設定オブジェクトの名前を入力します。

ポップアップウィンドウのmsDS-PasswordSettingsPrecedenceプロパティに値を設定します。優先順位を設定するために、ドメインにユーザーに直接リンクされている複数のパスワードポリシーがある場合、優先ポリシーの最小値と、以下に示すとおり

ログイン

で

< BR>ポップアップウィンドウでmsDS-PasswordReversibleEncryptionEnabledプロパティにブール値を設定するグループポリシーの "パスワードを元に戻すことができる暗号化で保存する"設定に対応するFALSE /TRUEを設定できます。ポップアップウィンドウでmsDS-PasswordHistoryLength属性の値を設定します。これは、グループポリシーの[パスワードの強制履歴]設定に対応しています。使用可能な値の範囲は0から1024です。以下に示すように、この設定の後に[次へ]をクリックします。

で

はのmsDS-PasswordComplexityEnabledプロパティのポップアップウィンドウにブール値を設定し、あなたがTRUE /FALSEに設定することができ、対応するグループポリシーの属性「パスワードは複雑さの要件を満たす必要があります」

ポップアップウィンドウ：この設定では以下に示すように、「次へ」をクリックし、有効に提供msDS-MinimumPasswordLength属性に設定可能な値の範囲は、0〜255で、グループポリシーの "Password Length Minimum"設定に対応しています入力ボックスで設定後、[次へ]をクリックします。示しています

サイト
ポップアップウィンドウの属性であるのmsDS-MinimumPasswordAge "small password life"設定に対応する値をグループポリシーに設定します。時間形式は "00：00：00：00"です。ここでは1日、1：00：00：00、順序を設定しますグループポリシーのプロパティの値に設定されたポップアップウィンドウのmsDS-MaximumPasswordAge属性で

：以下に示すように、「次へ」をクリック設定は、以下に示すように、「次へ」をクリックして示された後、「パスワードの有効期間」に対応する、前出の時間形式：で

< BR>で

グループポリシーの「アカウントロックアウトのしきい値」に相当し、ポップアップウィンドウの設定値のmsDS-LockoutThreshold属性、0から6553の利用可能な範囲で5、以下に示すように、 "次へ" をクリックして設定した後：ポップアップウィンドウで

は、プロパティのmsDS-LockoutObservationWindow時間値であります形式は、以前に設定した時間形式と同じで、グループポリシーの[アカウントロックカウンタのリセット]設定に対応しています。ここで30分に設定します。設定後、[次へ]をクリックします。 P>

で


ポップアップウィンドウ形式でプロパティのmsDS-LockoutDurationです上記と同様に、この属性はグループポリシーの[アカウントのロック時間]設定に対応しています。設定後、次のように[次へ]をクリックします。

窓、以下に示すように、 "完了" をクリックします。

で

< BR>この時点で、カスタムパスワードとアカウントロックアウトポリシーが作成されました。それで、それをいくつかのアカウントに適用するにはどうすればいいですか？また、次の簡単な手順を実行する必要があります。

上記の操作の後に返されるADSIEditで作成したパスワード設定オブジェクトをダブルクリックし、ポップアッププロパティ編集ウィンドウでmsDS-PSOAppliesTo属性を見つけます。この選択にあった、これのパスワード設定オブジェクトを適用する対象のオブジェクトを選択するには、ポップアップウィンドウで

：「編集」、下図のようにクリックしてください以前に作成したテストグローバルセキュリティグループ、選択完了以下に示すように、 "OK" をクリックします：

この時点では、ポリシーがテストグループのメンバーに限り、それが属しているとして、上記で選択したグループに適用されているパスワードを使用し、ロックの上に作成したアカウント戦略、結果のテスト、ADUCの起動、テストグループに属していないユーザーの最初のテスト、user1アカウントの右クリック、パスワードのリセットの選択、123の入力、OKの順にクリックします。

は正常にリセットされた上のスクリーンショットuser1のアカウントのパスワードから見ることができます既定のドメインポリシーではパスワードの複雑さが無効に設定されており、最小パスワード長が0であるため、この単純なパスワードを使用できます。次に、user1アカウントをテストグループに追加します。 >

>

が今使用することはできません前に、グループ、簡単なパスワードポリシーを結合するために、テストの直後に作成したポリシーのフロントUSER1上のアプリケーションを見ることができます。

で