教えて!HELPDESK      Excel     Word      Outlook      Power Point      Windows

 

 

Active Directory:ドメイン環境でのアカウントポリシー 徹底理解!

 

 

 

 

 

 


 

 

 

 

 

 

 


 

 

 

 

 

 

ドメインアカウントに定義するセキュリティポリシーの1つに「アカウントポリシー」という項目があります。

(「コンピュータの構成」−「Windowsの設定」−「セキュリティの設定」−「アカウントポリシー」で設定)

アカウントポリシーは「パスワード」「アカウントロックアウト」「Kerberos」の3つのポリシーで構成されてい ます。このポリシーは他のポリシーと仕組みが異なるため「アカウントポリシーが変更(適用)できない」と困る管理者の方もいるようです。ここではドメイン環境でのアカウントポリシー について解説します。


アカウントポリシーはドメインにリンクされたGPOのみ有効

ドメイン アカウントに適用できる「アカウント ポリシー」は、ドメインリンクの既定のGPOのみ(つまり通常はDefault Domain Policy)です。(又はそれより優先度が高いドメインリンクのGPO)ドメインリンクのGPOが複数存在する場合は優先度の高い順から累積されたポリシーが適用されます。

 

OUにリンクしたGPOのアカウントポリシーはドメインアカウントでは無視されます。また、OUで継承をブロックしてもドメインGPOのアカウントポリシーは適用されます。(※OUにリンクしたGPOのアカウントポリシーは属しているコンピュータのローカルアカウントだけに影響します。ドメイン アカウントには影響しません。)

 

ドメイン環境ではアカウントポリシーは各ポリシーごとに1つしか定義できないので、例えば「パスワードの長さ」が「3文字以上」のコンピュータアカウントと、「5文字以上」のコンピュータアカウントをドメインに混在させることはできません。どちらか一方のみです。「アカウントポリシーは全てドメインレベルで適用され、その定義内容は一意である」と覚えておきましょう。尚、Default Domain Policyにはアカウントポリシーが既定で定義されています。

★ 図解で理解1:ドメインGPO「A」のアカウントポリシーのみ有効。(OUにリンクされたGPO「B」は無効)

★図解で理解2:ドメインリンクのGPOが複数存在する場合は優先度の高いGPOから適用されていく。(累積)


※注:勘違いされやすいのですが、ドメインアカウントに対する「アカウントポリシー」が設定できるGPOが1つなのではなく、「アカウントポリシー」の各ポリシー項目内容は1つしか定義できない、ドメイン内で一意である、ということです。ドメインルートにリンクしたGPOは複数有効であるため、優先度が高いGPOで「未定義」の項目は、優先度の低いGPOに定義されたアカウントポリシーに従います。


アカウントポリシーの既定値はドメインコントローラポリシーに設定されている

先述の通り、ドメインアカウントへのアカウントポリシーはドメインリンクのGPOのみ有効で、これが最有力です。(OUは無効)

ドメイン既定のGPOが未定義であった場合は、ドメインコントローラに定義されている【ローカルセキュリティポリシー 】がドメイン全体へ適用されます。(注!Default Domain Controllers PolicyではなくDCのローカルセキュリティポリシーです。尚、既定でDefault Domain Policyにはアカウントポリシーが設定されているため、手動で未定義に設定しない限りこういったことは起こりません。)

 

適用順

◎ ドメインルートにリンクされた既定のGPO(通常はDefault Domain Policy)が適用

 ↓

◎ ドメインGPOで未定義のポリシーは、ドメインコントローラのローカルセキュリティポリシーが適用
(ローカルセキュリティポリシーには未定義はないのでこれが既定となる。尚、Default Domain Policyで未定義にしない限り、ローカルセキュリティポリシーはグレーアウトされるため設定することはできません。)


ドメインコントローラにもドメインルートのGPOが適用される

ドメインコントローラにも既定のドメインGPOが適用されます。そのドメイン コントローラが属す OU に異なるアカウント ポリシーが適用されている場合も、常にドメインのルートのアカウント ポリシーが使用されます。アカウントポリシーは全てドメインレベルで適用される、と理解 しましょう。


現在クライアントコンピュータに適用されているアカウントポリシーを確認する方法

クライアントコンピュータに現在適用されているアカウントポリシーが分かりづらい場合があります。理由は以下の仕様によるものです。

  • ローカルセキュリティポリシーを確認するとOUにリンクしたGPOのアカウントポリシーが表示される。(ポリシー が適用されているように見える)

  • ドメインポリシーを「未定義」にすると、DCのローカルセキュリティポリシーが適用されるが、クライアントコンピューターのローカルセキュリティポリシーを確認してもこれは表示されないため適用されてい るものと一致していない場合がある。

  • ドメインポリシーを「未定義」にすると「ポリシーの結果セット」では未定義となってしまい、現在のポリシーが確認できない。

現在クライアントコンピュータに適用されているアカウントポリシーは、以下のコマンドで確認できます。
→ コマンドプロンプト画面を表示し、net accounts /domainと入力
▼現在適用されているアカウントポリシーが表示される

もし、 ドメインで一意である「アカウントポリシー」と異なる内容を定義したい場合は、ユーザーアカウントに個別に設定しましょう。ADのユーザーアカウントの「プロパティ」−「アカウント」タブでいくつかのアカウントポリシーと同じ内容を定義できます。

 

 

教えて!HELPDESK      Excel     Word      Outlook      Power Point      Windows