ドメイン メンバー: コンピューター アカウント パスワード: 定期的な変更を無効にする
[ドメイン メンバー: コンピューター アカウント パスワード: 定期的な変更を無効にする] セキュリティ ポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。
参考
[ドメイン メンバー: コンピューター アカウント パスワード: 定期的な変更を無効にする] ポリシー設定では、ドメイン メンバーが、そのコンピューター アカウントのパスワードを定期的に変更するかどうかを決定します。その値を [有効] に設定すると、ドメイン メンバーによるコンピューター アカウントのパスワードの変更を禁止します。[無効] に設定すると、ドメイン メンバーは、[ドメイン メンバー: 最大コンピューター アカウントのパスワードの有効期間] のポリシー設定で指定された値 (既定では 30 日間) に従って、コンピューター アカウントのパスワードを変更することができます。
既定では、ドメインに属しているデバイスは、30 日ごとにアカウントのパスワードを変更することが自動的に要求されます。アカウントのパスワードを自動的に変更できなくなったデバイスは、悪意のあるユーザーがシステムのドメイン アカウントのパスワードを決定する危険にさらされます。
[ドメイン メンバー: コンピューター アカウント パスワード: 定期的な変更を無効にする] オプションが [無効] に設定されていることを確認します。
設定可能な値
有効
無効
ベスト プラクティス
このポリシー設定を有効にしないでください。コンピューター アカウントのパスワードは、メンバーとドメイン コントローラー間、およびドメイン内ではドメイン コントローラー間で、セキュリティで保護されたチャネルの通信を確立するために使用されます。セキュリティで保護されたチャネルでは、確立されると、認証と承認の決定を行うために必要な機密情報を送信します。
このポリシー設定は、同じコンピューター アカウントを使用するデュアルブートのシナリオをサポートするために使用しないでください。同じドメインに参加している 2 つのインストールをデュアルブートする場合は、それら 2 つのインストールに異なるコンピューター名を使用してください。このポリシー設定は、数か月後に運用環境に投入するためにあらかじめ作成したコンピューターを保管する組織が作業を簡単に行えるようにするために、Windows オペレーティング システムに追加されました。それらのデバイスをドメインに再参加させる必要はありません。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
無効 |
既定のドメイン コントローラー ポリシー |
無効 |
スタンドアロン サーバーの既定の設定 |
無効 |
DC の有効な既定の設定 |
無効 |
メンバー サーバーの有効な既定の設定 |
無効 |
クライアント コンピューターの有効な既定の設定 |
無効 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
既定では、ドメインに属する Windows Server を実行しているデバイスは、特定の日数 (通常は 30 日) ごとにアカウントのパスワードを自動的に変更します。このポリシー設定を無効にすると、Windows Server オペレーティング システムを実行しているデバイスは、コンピューター アカウントと同じパスワードを保持します。アカウントのパスワードを自動的に変更できないデバイスは、コンピューターのドメイン アカウントのパスワードを決定する可能性がある攻撃者からの危険にさらされます。
対策
[ドメイン メンバー: コンピューター アカウント パスワード: 定期的な変更を無効にする] 設定が [無効] に構成されていることを確認します。
考えられる影響
なし。これは既定の構成です。