[パスワード ポリシー]
適用対象: Windows Vista,Windows Server 2008,Windows 7,Windows 8.1,Windows Server 2008 R2,Windows Server 2012 R2,Windows Server 2012,Windows 8
It 担当者がこのセキュリティ ポリシーのリファレンス トピックでは、Windows および各ポリシー設定の情報へのリンク用のパスワード ポリシーの概要を示します。
多くのオペレーティング システムでは、ユーザーの id を認証する最も一般的な方法は、秘密のパスフレーズやパスワードを使用します。 セキュリティで保護されたネットワーク環境では、8 文字以上があり、文字、数字、および記号の組み合わせが含まれる、強力なパスワードを使用するすべてのユーザーが必要です。 これらのパスワードでは、ユーザー アカウントとされ、脆弱なパスワードを推測する手動による方法や自動化されたツールを使用してユーザーを承認されていない管理アカウントのセキュリティ侵害を防ぐのに役立ちます。 強力なパスワードは定期的に変更するには、パスワード攻撃が成功の可能性が減少します。
導入されたWindows Server 2008 R2とWindows Server 2008、Windows には、詳細なパスワード ポリシーがサポートされています。 この機能は、組織では、ドメイン内の別のパスワードとユーザーのさまざまなセットに対してアカウント ロックアウトのポリシーを定義する方法を提供します。 Windows 2000 Server および Windows Server 2003 の Active Directory のドメイン内には、1 つだけのパスワード ポリシーおよびアカウント ロックアウトのポリシーをドメイン内のすべてのユーザーに適用する。 詳細なパスワード ポリシーは、ユーザー オブジェクトのみに適用 (または、inetorgperson の各オブジェクトのかどうかは、ユーザー オブジェクトの代わりに使用する、) およびグローバル セキュリティ グループです。
OU のユーザーには、詳細なパスワード ポリシーを適用するには、シャドウのグループを使用できます。 シャドウ グループとは、詳細なパスワード ポリシーを適用する OU を論理的にマップされているグローバル セキュリティ グループです。 OU のユーザーを新しく作成されたシャドウ グループのメンバーとして追加し、このシャドウのグループに、詳細なパスワード ポリシーを適用するとします。 必要に応じて、他の Ou には、追加のシャドウのグループを作成できます。 別の 1 つの OU からユーザーを移動する場合は、対応するシャドウのグループのメンバーシップを更新する必要があります。
詳細なパスワード ポリシーには、アカウントのロックアウト設定だけでなく (Kerberos の設定) を除く、既定のドメイン ポリシーで定義できる設定がすべての属性が含まれます。 詳細なパスワード ポリシーを指定する場合は、これらすべての設定を指定する必要があります。 既定では、Domain Admins グループのメンバーのみが細かい設定が可能なパスワード ポリシーを設定できます。 ただし、このポリシーを設定する権限を他のユーザーに委任することもできます。 以降、ドメインを実行する必要がありますWindows Server 2008 R2またはWindows Server 2008詳細なパスワード ポリシーを使用します。 詳細なパスワード ポリシーは、組織単位 (OU) に直接適用することはできません。
詳細なパスワード ポリシーは、同じドメインに使用されるカスタム パスワード フィルターを使用しては影響しません。 Windows 2000 Server または Windows Server 2003 を実行しているドメイン コント ローラーにカスタム パスワード フィルターを展開している組織は、これらのパスワード フィルターを使用して、パスワードの他の制限が適用を続行できます。 詳細なパスワード ポリシーの詳細については、を参照してくださいAD DS:詳細なパスワード ポリシーです。
適切なパスワード ポリシーを使用して強力なパスワードの使用を強制できます。 パスワード ポリシーの設定など、複雑さと、パスワードの有効期間を制御するが、パスワードが複雑さの要件を満たす必要がありますポリシー設定です。
次の場所に、ドメイン コント ローラーで、グループ ポリシー管理コンソールを使用して、パスワードのポリシー設定を構成できます。
コンピューターの構成 \windows の設定 \ セキュリティ アカウントのパスワード ポリシー
個々 のグループには、個別のパスワード ポリシーが必要とする場合これらのグループ区切る必要がありますを別のドメインまたはフォレストでは、その他の要件に基づきます。
セキュリティ ポリシーの設定方法の詳細については、次を参照してください。セキュリティ ポリシー設定を構成する方法です。
次のトピックでは、パスワード ポリシーの実装とベスト プラクティスの考慮事項、ポリシーの場所、サーバーの種類または GPO の既定値、オペレーティング システムのバージョン、セキュリティの考慮事項 (各設定の考えられる脆弱性を含む)、その対策が、実行できるし、各設定の影響を与える可能性があることに関連する相違点の詳細についてを提供します。