ドメインアカウントに定義するセキュリティポリシーの1つに「アカウントポリシー」という項目があります。
(「コンピュータの構成」−「Windowsの設定」−「セキュリティの設定」−「アカウントポリシー」で設定)
アカウントポリシーは「パスワード」「アカウントロックアウト」「Kerberos」の3つのポリシーで構成されてい
ます。このポリシーは他のポリシーと仕組みが異なるため「アカウントポリシーが変更(適用)できない」と困る管理者の方もいるようです。ここではドメイン環境でのアカウントポリシー
について解説します。
■ アカウントポリシーはドメインにリンクされたGPOのみ有効
ドメイン
アカウントに適用できる「アカウント
ポリシー」は、ドメインリンクの既定のGPOのみ(つまり通常はDefault Domain
Policy)です。(又はそれより優先度が高いドメインリンクのGPO)ドメインリンクのGPOが複数存在する場合は優先度の高い順から累積されたポリシーが適用されます。
OUにリンクしたGPOのアカウントポリシーはドメインアカウントでは無視されます。また、OUで継承をブロックしてもドメインGPOのアカウントポリシーは適用されます。(※OUにリンクしたGPOのアカウントポリシーは属しているコンピュータのローカルアカウントだけに影響します。ドメイン
アカウントには影響しません。)
ドメイン環境ではアカウントポリシーは各ポリシーごとに1つしか定義できないので、例えば「パスワードの長さ」が「3文字以上」のコンピュータアカウントと、「5文字以上」のコンピュータアカウントをドメインに混在させることはできません。どちらか一方のみです。「アカウントポリシーは全てドメインレベルで適用され、その定義内容は一意である」と覚えておきましょう。尚、Default Domain Policyにはアカウントポリシーが既定で定義されています。
★ 図解で理解1:ドメインGPO「A」のアカウントポリシーのみ有効。(OUにリンクされたGPO「B」は無効)
★図解で理解2:ドメインリンクのGPOが複数存在する場合は優先度の高いGPOから適用されていく。(累積)
※注:勘違いされやすいのですが、ドメインアカウントに対する「アカウントポリシー」が設定できるGPOが1つなのではなく、「アカウントポリシー」の各ポリシー項目内容は1つしか定義できない、ドメイン内で一意である、ということです。ドメインルートにリンクしたGPOは複数有効であるため、優先度が高いGPOで「未定義」の項目は、優先度の低いGPOに定義されたアカウントポリシーに従います。
|
アカウントポリシーの既定値はドメインコントローラポリシーに設定されている
|
先述の通り、ドメインアカウントへのアカウントポリシーはドメインリンクのGPOのみ有効で、これが最有力です。(OUは無効)
ドメイン既定のGPOが未定義であった場合は、ドメインコントローラに定義されている【ローカルセキュリティポリシー
】がドメイン全体へ適用されます。(注!Default Domain
Controllers
PolicyではなくDCのローカルセキュリティポリシーです。尚、既定でDefault Domain Policyにはアカウントポリシーが設定されているため、手動で未定義に設定しない限りこういったことは起こりません。)
適用順
◎
ドメインルートにリンクされた既定のGPO(通常はDefault Domain Policy)が適用
↓
◎
ドメインGPOで未定義のポリシーは、ドメインコントローラのローカルセキュリティポリシーが適用
(ローカルセキュリティポリシーには未定義はないのでこれが既定となる。尚、Default Domain
Policyで未定義にしない限り、ローカルセキュリティポリシーはグレーアウトされるため設定することはできません。)
|
ドメインコントローラにもドメインルートのGPOが適用される
|
ドメインコントローラにも既定のドメインGPOが適用されます。そのドメイン
コントローラが属す OU に異なるアカウント ポリシーが適用されている場合も、常にドメインのルートのアカウント
ポリシーが使用されます。アカウントポリシーは全てドメインレベルで適用される、と理解
しましょう。
|
現在クライアントコンピュータに適用されているアカウントポリシーを確認する方法
|
クライアントコンピュータに現在適用されているアカウントポリシーが分かりづらい場合があります。理由は以下の仕様によるものです。
-
ローカルセキュリティポリシーを確認するとOUにリンクしたGPOのアカウントポリシーが表示される。(ポリシー
が適用されているように見える)
-
ドメインポリシーを「未定義」にすると、DCのローカルセキュリティポリシーが適用されるが、クライアントコンピューターのローカルセキュリティポリシーを確認してもこれは表示されないため適用されてい
るものと一致していない場合がある。
-
ドメインポリシーを「未定義」にすると「ポリシーの結果セット」では未定義となってしまい、現在のポリシーが確認できない。
現在クライアントコンピュータに適用されているアカウントポリシーは、以下のコマンドで確認できます。
→ コマンドプロンプト画面を表示し、「net accounts /domain」と入力
▼現在適用されているアカウントポリシーが表示される
もし、
ドメインで一意である「アカウントポリシー」と異なる内容を定義したい場合は、ユーザーアカウントに個別に設定しましょう。ADのユーザーアカウントの「プロパティ」−「アカウント」タブでいくつかのアカウントポリシーと同じ内容を定義できます。