前回、WindowsServerにおけるパスワードポリシーの設定ついてご紹介しました。
当記事ではPSOを使った細かいパスワードポリシーの構成ついてご紹介します。
PSOを使った細かいパスワードポリシー
グループポリシーで行うパスワードポリシーやアカウントロックアウトポリシーなどのアカウントポリシーの定義では、パスワードの長さや強度、有効期限、ロックアウト期間などを設定することができます。
Windows Server 2003までは、パスワード設定とアカウントロックアウト設定はドメインに限られていたため、パスワードとアカウントロックアウトに関する設定は1つのドメインで1つしか定義できませんでした。
したがって、複数の設定を必要とする場合は、ドメインを複数展開する必要がありました。
Windows Server 2008以降では、新たに「細かい設定が可能なパスワードポリシー」という機能が導入され、GPOの機能は使用せずに、ドメイン内で複数のパスワードポリシーやアカウントロックアウトポリシーを定義することができます。
PSOの作成
細かい設定が可能なパスワードポリシーでは、PSO(Password Settings Object)を作成してユーザーやグループにリンクすることで適用されます。
PSOオブジェクトはActive Directoryコンテナーオブジェクトの一種で、「Active Directoryユーザーとコンピューター」コンソールを拡張表示モードで表示することにより、コンソールツリーに表示されます。
PSOはGPOではないため、「グループポリシーの管理」ではなく、「ADSIEdit(Active Directory Service Interface Editor)」を使用して作成します。
PSO の作成途中で指定する msDS の属性値については、下表を参照してください。
PSO の適用
PSOが作成されたら、ユーザーオブジェクトやセキュリティグループオブジェクトにリンクし、設定を適用します。
PSOを適用するには、「Active Directoryユーザーとコンピューター」を拡張機能モードに切り替え、「Password Settings Container」内にある作成したPSOのプロパティから行います。
いかがでしたでしょうか。
ぜひお勉強の際にお役立て下さい。
