Windows system >> Windowsの知識 >  >> Windows Serverシステムのチュートリアル >> Windows Serverチュートリアル >> Windows Server 2008のActive Directoryの改善:詳細なパスワードポリシー

Windows Server 2008のActive Directoryの改善:詳細なパスワードポリシー

  

Windows Server 2008では、ドメイン内のさまざまなユーザーセットに対してさまざまなパスワードとアカウントロックアウトを定義することができます。戦略Windows 2000およびWindows Server 2003のActive Directoryドメインでは、ドメイン内のすべてのユーザーに適用できるパスワードとアカウントのロックアウトポリシーは1つだけです。これらのポリシーはデフォルトドメインポリシーで定義されています。したがって、組織ごとにパスワードポリシーフィルタを設定するか、複数のドメインを展開する必要があります。これらの選択はさまざまな理由でコストがかかる可能性があります。

きめ細かいパスワード戦略でできることは何ですか?

細かいパスワードポリシーを使用して、同じドメイン内でさまざまなパスワードポリシーを指定できます。きめ細かいパスワードポリシーを使用して、同じドメイン内の異なるユーザーセットに異なるパスワードおよびアカウントロックアウトポリシーの制限を適用できます。

たとえば、特権アカウントには厳密な設定を使用し、他のユーザーにはそれほど制限のない設定を使用できます。他のシナリオでは、パスワードが他のデータソースと同期されているアカウントに特別なポリシーを適用したい場合などです。

他に特別な考慮事項がありますか。

細分化されたパスワードポリシーの値は、ユーザーオブジェクト(またはユーザーオブジェクトを置き換えるために使用されるinetOrgPersonオブジェクト)とグローバルセキュリティグループに適用されます。デフォルトでは、Domain Adminsグループのメンバーだけがこのポリシーを設定できます。ただし、他のユーザーに委任してこのポリシーを設定することもできます。ただし、ドメインの機能レベルはWindows Server 2008にする必要があります。

詳細なパスワードポリシーをOUに直接適用することはできません。しかし、これを達成するために、シャドウグループを使うことができます。

シャドウグループは基本的にグローバルセキュリティグループで、詳細なパスワードポリシーを適用するためにOUに論理的にマッピングされています。 OUにユーザーを追加することは、シャドウグループにメンバーを追加してから、シャドウグループに詳細なパスワードポリシーを適用することに似ています。必要に応じて、他のOU用のシャドウグループも作成できます。あるOUから別のOUにユーザーを移動した場合は、アカウントグループのメンバプロパティを対応するシャドウグループに更新する必要があります。

詳細なパスワードポリシーは、同じドメインに適用する必要があるカスタムパスワードポリシーフィルタの影響を受けません。ドメインコントローラとしてWindows 2000またはWindows Server 2003を使用している組織にカスタムパスワードポリシーフィルタを展開すると、引き続きこれらのフィルタを使用して追加のパスワード制限を適用できます。

この機能はどのような新機能を提供しますか?

詳細なパスワードポリシーの格納

詳細なパスワードポリシーを格納するために、Windows Server 2008にはAD DSスキーマに2つの新しいオブジェクトクラスが含まれています。

パスワード設定コンテナ(パスワード設定コンテナ)

パスワード設定

パスワード設定コンテナは、ドメインのシステムコンテナの下にデフォルトで作成されます。計算機能付きのActive Directoryユーザーを使用して高度な機能を有効にすると表示できます。ドメインのパスワード設定オブジェクト(PSO)を格納します。

このコンテナの名前変更、移動、削除はできません。追加のカスタムパスワード設定コンテナを作成することはできますが、それらはオブジェクトに対して計算されたグループポリシー結果セットには含まれません。そのため、追加のカスタムパスワード設定コンテナを作成することはお勧めできません。

パスワード設定オブジェクトには、既定のドメインポリシーで定義できるすべてのプロパティ設定が含まれています(Kerberos設定を除く)。これらの設定には、次のパスワード設定プロパティが含まれます。

パスワード履歴を適用する
最大パスワード有効期間
最小パスワード有効期間
最小パスワード期間
パスワードは複雑さの要件を満たす必要があります< BR>回復可能な暗号化によるパスワードの保存

これらの設定には、次のアカウントロックアウト設定も含まれます。

アカウントロックアウト時間
アカウントロックアウトしきい値
アカウントロックアウトカウンタのリセット< Br>

さらに、PSOには次の2つの新しいプロパティも含まれています。

PSOリンク:これはユーザーまたはグループオブジェクトにリンクされた多値属性です。

優先度:これは用途です。競合する整数値を生成するために単一のユーザーまたはグループオブジェクトに複数のPSOが適用されるという問題を解決するには、これらの9つの属性値を定義し、不可欠にする必要があります。複数のPSOからの設定はマージできません。

詳細なパスワードポリシーの範囲の定義

PSOは、PSOと同じドメイン内のユーザー(またはinetOrgPerson)またはグループオブジェクトにリンクできます。

PSOには、PSOフォワードリンク、msDS-PSOAppliesを記述する属性値が含まれています。 msDS-PSOAppliesは多値属性です。そのため、PSOを複数のユーザーまたはグループにリンクできます。

2008年に、msDS-PSOAppliedという新しい属性値がユーザーおよびグループオブジェクトに追加されました。このプロパティにはPSOのバックリンクが含まれています。 msDS-PSOApplied属性にはバックリンクがあるため、ユーザーまたはグループは複数のPSOによって適用できます。 PSOをグローバルセキュリティグループ以外の種類のグループにリンクすることができます。

グラフィカルインターフェイスを使用したPSOの作成(adsiedit.msc)

1.スタートボタンをクリックし、ファイル名を指定して実行をクリックし、adsiedit.mscと入力してOKをクリックします。
* DCの場合初めてadsidedit.mscを実行します。続けて2番目の手順を確認します。そうでない場合は、4番目の手順に進みます。 2. ADSI EDITインターフェースで、ADSI Editを右クリックし、Connect toをクリックします。3. Nameフィールドに、PSOを作成するドメインの完全修飾ドメイン名(FQDN)を入力し、をクリックします。 4.ドメインをダブルクリックします。5.ドメイン名をダブルクリックします。6. CN =システムをダブルクリックします。7.パスワード設定をダブルクリックします。8. CN =パスワード設定コンテナを右クリックします。 9.オブジェクトの作成ダイアログボックスで、msDS-PasswordSettingsを選択し、次へをクリックします。10. PSOの名前を入力して、次へをクリックします。11ウィザードで、必須属性を入力します。

msDS-PasswordReversibleEncryptionEnabled属性名説明例値
msDS-PasswordSettingsPrecedenceパスワード設定の優先度10
msDS-PasswordReversibleEncryptionEnabledパスワードを使用してパスワードを保存しますFALSE < BR> msDS-PasswordHistoryLength履歴パスワードの長さ24
msDS-PasswordComplexityEnabledユーザーの秘密複雑さTRUE

msDS-MinimumPasswordLengthユーザーパスワードの最小長8 msDS-MinimumPasswordAgeパスワードの最小使用期間
(負の値のみ許可され、計算方法はテキストの最後にあります)
-864000000000(1日) msDS − MaximumPasswordAge最大パスワード期間(負の値のみが許容され、計算方法はテキストの最後にある)<BR> −17280000000000(20日)<BR> msDS − LockoutThresholdアカウントロックアウトしきい値0 <BR> msDS− LockoutObservationWindowアカウントロックカウンタ時間のリセット
(負の値のみ許可されます。計算方法の最後を参照)-18000000000(30分) - LockoutDurationアカウントのロック時間
(負の値のみ許可され、計算方法はテキストの最後にあります) -18000000000(30分)msDS-PSO適用先PSOが適用される(順方向接続)CN = u1、CN =ユーザー、

12.ウィザードの最後のページで、[その他のプロパティ]をクリックします。 BR> 13.表示するプロパティの選択メニューで、オプションまたは両方をクリックします。
14.ドロップダウンメニューで、表示する属性を選択します。 msDS-PSOAppliesTo
を選択します。15. [プロパティの編集]で、PSOを適用する必要があるユーザーとグローバルセキュリティグループの相対識別名を追加します。
16.複数のユーザーにPSOを適用する必要がある場合は、手順15を繰り返します。グローバルセキュリティグループ
17. Finishをクリックします。

添付ファイル:時間属性値を含む特定の決定
時間単位操作方法<分> -60 *(10 ^ 7) = - 600000000「h」時−60×60×(10 ^ 7)= −360000000×「d」日−24×60×60×(10 ^ 7)= −864000000000×br >

Copyright © Windowsの知識 All Rights Reserved