ステップ バイ ステップ ガイド - 細かい設定が可能なパスワードおよびアカウント ロックアウトのポリシー設定

更新日: 2009年6月

適用対象: Windows Server 2008, Windows Server 2008 R2

このステップ バイ ステップ ガイドは、細かい設定が可能なパスワードおよびアカウント ロックアウトのポリシーを、Windows Server® 2008 ドメインのさまざまなユーザー グループに設定し、適用する手順を示します。

Microsoft® Windows® 2000 および Windows Server 2003 Active Directory ドメインでは、適用できるパスワードおよびアカウント ロックアウトのポリシーは、既定のドメイン ポリシーに指定されているものが 1つだけで、これがドメイン内のすべてのユーザーに適用されます。このため、さまざまなユーザー グループに対して異なるパスワードとアカウント ロックアウトを設定するには、パスワード フィルタを作成するか、複数のドメインを展開する必要があります。どちらの方法も、さまざまなコストがかかります。

Windows Server 2008 では、細かい設定が可能なパスワードおよびアカウント ロックアウトのポリシーを使用して、複数のパスワード ポリシーを指定できます。このため、異なる制限のパスワードとアカウント ロックアウトのポリシーを、同じドメイン内のさまざまなユーザー グループに適用することができます。たとえば、特権のあるアカウントに高いレベルのセキュリティを適用する場合、特権のあるアカウントに厳しい設定を適用し、その他のユーザーのアカウントには緩やかな設定を適用できます。また、パスワードを別のデータ ソースと同期するアカウントに対して、特別なパスワード ポリシーを適用することもできます。

細かい設定が可能なパスワード ポリシーを保存するために、Windows Server 2008 では、Active Directory ドメイン サービス (AD DS) スキーマに次の新しい 2 つのオブジェクト クラスが用意されています。

  • パスワード設定コンテナ

  • パスワード設定

パスワード設定コンテナ (PSC) オブジェクト クラスは、既定では、ドメインの System コンテナ内に作成されます。このクラスには、ドメインのパスワード設定オブジェクト (PSO) が格納されます。このコンテナの名前変更、移動、削除を行うことはできません。

詳細については、「付録 A: 細かい設定が可能なパスワードとアカウント ロックアウトのポリシーの確認」を参照してください。

このガイドの対象読者

このガイドは、次のような方を対象としています。

  • 製品の技術面の評価を担当する情報技術 (IT) プランナーおよび IT アナリスト

  • 組織を顧客とするエンタープライズ IT プランナーとデザイナ

  • IT セキュリティを担当する管理者またはマネージャ

シナリオの概要

組織構成を定義する

細かい設定が可能なパスワードおよびアカウント ロックアウトのポリシーを設定する前に、組織構成を定義しておきます。これを行うには、必要なグループを作成し、ユーザーをグループに追加したり、あるグループから別のグループへ移動させたりします。細かい設定が可能なパスワードおよびアカウント ロックアウトのポリシー機能を最も効率よく使用するには、計画時に組織構成の特性を考慮することが重要です。たとえば、何種類のパスワード ポリシーが必要かを考慮する必要があります。典型的なシナリオには、3 ~ 10 個の PSO と、次のようなパスワード ポリシーが含まれます。

  • 厳しく設定された管理者パスワード ポリシー (例 : パスワードの有効期限が 14 日間)

  • 設定がそれほど厳しくない、標準的なユーザー パスワード ポリシー (例 : パスワードの有効期限が 90 日間)

  • サービス アカウントを対象とするサービス アカウント パスワード ポリシー (例 : パスワードの長さは 32 文字以上)

既存のグループ構造を利用することも、同じように重要です。既存の構造にはどのような特性があるでしょうか。また、既存の Administrators グループまたは Users グループがあるでしょうか。最終的な目標は、グループ構造を決定し、細かい設定が可能なパスワードおよびアカウント ロックアウトのポリシーを、必要なアプリケーションに直接マップできるようにすることです。

PSO は、組織単位 (OU) には直接適用できません。ユーザーが OU に編成されている場合は、OU の "シャドウ グループ" を作成し、新しく定義した細かい設定が可能なパスワードおよびアカウント ロックアウトのポリシーを、そのシャドウ グループに適用することもできます。シャドウ グループとは、細かい設定が可能なパスワードおよびアカウント ロックアウトのポリシーを適用するために、OU に論理的にマップされるグローバル セキュリティ グループです。OU ユーザーを新しく作成するシャドウ グループのメンバとして追加してから、細かい設定が可能なパスワードおよびアカウント ロックアウトのポリシーを、このシャドウ グループに適用してください。ある OU から別の OU にユーザーを移動する場合、対応するシャドウ グループにおけるユーザーのメンバシップも更新してください。

OU に適用するのではなく、PSO をグロバール セキュリティ グループに直接適用すると、次のようなメリットがあります。

  • OU に比べ、グロバール セキュリティ グルーは柔軟にさまざまなユーザー グループを管理できます。

  • ほとんどの Active Directory の展開では、ユーザーの編成に、組織的なグループ構造を使用します。さらに、Windows Server 2008 の AD DS では、既定で Domain Admins、Enterprise Admins、Schema Admins、Server Operators、および Backup Operators などの各種管理アカウントのグループが作成されます。

  • グループ構造の使用により、細かい設定が可能なパスワード ポリシーの展開が容易になります。OU を作成して組織のディレクトリを再編する必要もありません。OU 階層の変更には詳細な計画が必要なうえに、グループ ポリシーの適用とアクセス制御リスト (ACL) の継承に多大な影響があるため、予測できないエラーが発生する危険性も増します。

細かい設定が可能なパスワードおよびアカウント ロックアウトのポリシーの要件と特別な考慮事項

  • ドメインの機能レベル :

    Important重要
    細かい設定が可能なパスワードおよびアカウント ロックアウトのポリシーを、指定されたドメインで正常に機能させるには、そのドメインのドメイン機能レベルが Windows Server 2008 に設定されている必要があります。

  • アクセス許可 : 既定では、PSO を作成できるのは、Domain Admins グループのメンバだけです。パスワード設定コンテナ オブジェクトに対する、子の作成と子の削除のアクセス許可は、このグループのメンバだけにあります。また、既定では Domain Admins グループのメンバだけに、PSO のプロパティの書き込みアクセス許可があります。そのため、PSO をグループまたはユーザーに適用できるのは、Domain Admins グループのメンバだけです。ユーザー オブジェクトまたはグループ オブジェクトに対するアクセス許可がなくても、PSO をこれらのオブジェクトに適用することはできます。ただし、PSO をユーザー オブジェクトまたはグループ オブジェクトに適用するには、PSO オブジェクトに対する書き込みアクセス許可が必要です。

  • アクセス許可の委任 : スキーマ内の PSO オブジェクトの既定のセキュリティ記述子に対するプロパティの読み取りアクセス許可を、ドメインやフォレスト内の他の任意のグループ (ヘルプ デスク担当者やアプリケーション管理など) に委任することができます。このようにすると、ユーザーはディレクトリ内の自身のパスワード設定を参照できなくなります。ユーザーは、msDS-ResultantPSO 属性または msDS-PSOApplied 属性を読み取ることはできますが、これらの属性によって表示されるのはユーザーに適用する PSO の識別名だけです。ユーザーはその PSO 内の設定を参照することはできません。詳細については、「付録 C: 細かい設定が可能なパスワードおよびアカウント ロックアウトのポリシーのグループ ベースによる管理」を参照してください。

  • 細かい設定が可能なパスワード ポリシーの適用 : 細かい設定が可能なパスワード ポリシーは、ユーザー オブジェクトとグローバル セキュリティ グループのみに適用されます (ユーザー オブジェクトの代わりに inetOrgPerson オブジェクトが使用されている場合は inetOrgPerson オブジェクトに適用されます)。細かい設定が可能なパスワード ポリシーは、コンピュータ オブジェクトには適用できません。

  • パスワード フィルタ : 細かい設定が可能なパスワード ポリシーは、同じドメインで使用されるカスタム パスワード フィルタと干渉しません。Windows 2000 または Windows Server 2003 を実行しているドメイン コントローラにカスタム パスワード フィルタを展開している組織は、引き続きそれらのパスワード フィルタを使用して、パスワードに追加の制限を適用できます。

  • カスタム PSC : 管理者は、既定の PSC だけでなく、System コンテナの下に独自のカスタム PSC を作成できます。ただし、カスタム PSC に保存される PSO は、ポリシーの結果セット ロジックによって考慮されないため、カスタム PSC の作成はお勧めしません。

  • 特別な PSO : 特定のグループ メンバを、グループ全体に割り当てられているポリシーとは別のポリシーに準拠させる必要がある場合、特別な PSO を直接そのユーザーに割り当てることができます。ユーザーに PSO を間接的に適用した場合 (すなわち、ユーザーが属しているグループに適用した場合)、ユーザーの msDS-ResultantPSO が決まるときに、特別な PSO が、そのユーザーにリンクされている他のすべての暗黙的な PSO よりも優先されます。ただし、特別な PSO がユーザー オブジェクトに複数直接適用されている場合 (この使い方はお勧めしません) は、最も小さいグローバル一意識別子 (GUID) を持つ PSO が優先されます。

細かい設定が可能なパスワードおよびアカウント ロックアウトのポリシーの設定手順

組織のグループ構造の定義と実装を終えたら、細かい設定が可能なパスワードおよびアカウント ロックアウトのポリシーを、ユーザーおよびグローバル セキュリティ グループに対して設定し、適用できるようになります。細かい設定が可能なパスワードおよびアカウント ロックアウトのポリシーの設定は、次の手順で行います。

Important重要
すべての既存の PSO について対応するグローバル セキュリティ グループを作成し、それらのグローバル セキュリティ グループ オブジェクトに対する適切なアクセス許可を、組織内の選択したユーザーまたはグループ (たとえば、サポート担当者など) に割り当てる (委任する) ことによって、細かい設定が可能なパスワードおよびアカウント ロックアウトのポリシーを管理することもできます。詳細については、「付録 C: 細かい設定が可能なパスワードおよびアカウント ロックアウトのポリシーのグループ ベースによる管理」を参照してください。

詳細については、次を参照してください。

タグ :


Page view tracker