パスワード ポリシー

Windows のパスワード ポリシーの概要と各ポリシー設定の情報に関するリンク。

ユーザーの本人性を証明する手段として多くのオペレーティング システムで最も一般的に使われているのは、秘密のパスフレーズ (パスワード) を使用する方法です。安全なネットワーク環境を構築するためには、すべてのユーザーに強力な (文字と数字と記号を組み合わせた 8 文字以上の) パスワードの使用を義務付ける必要があります。こうしたパスワードを使うことで、許可のないユーザーが脆弱なパスワードを手動でまたは自動化されたツールを使って推測し、ユーザー アカウントや管理者アカウントを不正に利用するのを防ぐことができます。強力なパスワードを定期的に変更することによって、パスワードに対する攻撃の成功率を下げることができます。

Windows Server 2008 R2 と Windows Server 2008 で、Windows には細かい設定に対応したパスワード ポリシーが導入されました。この機能によって組織は、ドメイン内のユーザーのグループごとに異なるパスワード ポリシーとアカウント ロックアウト ポリシーを定義できるようになりました。細かい設定が可能なパスワード ポリシーは、ユーザー オブジェクト (ユーザー オブジェクトの代わりに inetOrgPerson オブジェクトが使用されている場合は inetOrgPerson オブジェクト) とグローバル セキュリティ グループに対してのみ適用されます。

細かい設定が可能なパスワード ポリシーは、シャドウ グループを使用して OU のユーザーに適用することができます。シャドウ グループは、細かい設定が可能なパスワード ポリシーを適用する目的で論理上 OU にマップされたグローバル セキュリティ グループです。新しく作成したシャドウ グループのメンバーとして OU のユーザーを追加し、そのうえで、細かい設定が可能なパスワード ポリシーをこのシャドウ グループに適用します。必要に応じて他の OU 用にさらに別のシャドウ グループを作成することができます。OU から OU にユーザーを移動する場合、対応するシャドウ グループのメンバーシップを更新する必要があります。

細かい設定が可能なパスワード ポリシーには、アカウントのロックアウト設定に加え、既定のドメイン ポリシーで定義できるすべての設定 (Kerberos の設定を除く) の属性が含まれます。細かい設定が可能なパスワード ポリシーを指定するときは、それらの設定をすべて指定する必要があります。既定では、Domain Admins グループのメンバーだけが、細かい設定が可能なパスワード ポリシーを設定できます。ただし、それらのポリシーを設定する権限は他のユーザーに委任することができます。細かい設定が可能なパスワード ポリシーを使用するためには、ドメインで少なくとも Windows Server 2008 R2 または Windows Server 2008 が実行されている必要があります。細かい設定が可能なパスワード ポリシーを組織単位 (OU) に直接適用することはできません。

強力なパスワードの使用を強制するには、適切なパスワード ポリシーを使用します。[複雑さの要件を満たす必要があるパスワード] など、パスワード ポリシーの設定によって、パスワードの複雑さや有効期間を制御することができます。

パスワード ポリシーの設定は、グループ ポリシー管理コンソールから次の場所で構成できます。

コンピューターの構成\Windows 設定\セキュリティの設定\アカウント ポリシー\パスワードのポリシー

グループごとに異なるパスワード ポリシーが必要な場合は、別途要件に応じてこれらのグループを分割し、別のドメインまたは別のフォレストに移動してください。

以下のトピックでは、パスワード ポリシーの実装とベスト プラクティスの考慮事項、ポリシーの場所、サーバーの種類または GPO の既定値、オペレーティング システム バージョン間の違い、セキュリティに関する考慮事項 (個々の設定で考えられる脆弱性など)、講じることのできる対策、設定ごとの潜在的な影響について説明します。

このセクションの内容

関連トピック

セキュリティ ポリシー設定を構成します