Active Directory：ドメイン環境でのアカウントポリシー 徹底理解！

ドメインアカウントに定義するセキュリティポリシーの1つに「アカウントポリシー」という項目があります。

（「コンピュータの構成」−「Windowsの設定」−「セキュリティの設定」−「アカウントポリシー」で設定）

アカウントポリシーは「パスワード」「アカウントロックアウト」「Kerberos」の3つのポリシーで構成されてい ます。このポリシーは他のポリシーと仕組みが異なるため「アカウントポリシーが変更（適用）できない」と困る管理者の方もいるようです。ここではドメイン環境でのアカウントポリシー について解説します。

■ アカウントポリシーはドメインにリンクされたGPOのみ有効

ドメイン アカウントに適用できる「アカウント ポリシー」は、ドメインリンクの既定のGPOのみ（つまり通常はDefault Domain Policy）です。（又はそれより優先度が高いドメインリンクのGPO）ドメインリンクのGPOが複数存在する場合は優先度の高い順から累積されたポリシーが適用されます。

　

OUにリンクしたGPOのアカウントポリシーはドメインアカウントでは無視されます。また、OUで継承をブロックしてもドメインGPOのアカウントポリシーは適用されます。（※OUにリンクしたGPOのアカウントポリシーは属しているコンピュータのローカルアカウントだけに影響します。ドメイン アカウントには影響しません。）

　

ドメイン環境ではアカウントポリシーは各ポリシーごとに1つしか定義できないので、例えば「パスワードの長さ」が「3文字以上」のコンピュータアカウントと、「5文字以上」のコンピュータアカウントをドメインに混在させることはできません。どちらか一方のみです。「アカウントポリシーは全てドメインレベルで適用され、その定義内容は一意である」と覚えておきましょう。尚、Default Domain Policyにはアカウントポリシーが既定で定義されています。

★ 図解で理解1：ドメインGPO「A」のアカウントポリシーのみ有効。（OUにリンクされたGPO「B」は無効）

★図解で理解2：ドメインリンクのGPOが複数存在する場合は優先度の高いGPOから適用されていく。（累積）

※注：勘違いされやすいのですが、ドメインアカウントに対する「アカウントポリシー」が設定できるGPOが1つなのではなく、「アカウントポリシー」の各ポリシー項目内容は1つしか定義できない、ドメイン内で一意である、ということです。ドメインルートにリンクしたGPOは複数有効であるため、優先度が高いGPOで「未定義」の項目は、優先度の低いGPOに定義されたアカウントポリシーに従います。

アカウントポリシーの既定値はドメインコントローラポリシーに設定されている

先述の通り、ドメインアカウントへのアカウントポリシーはドメインリンクのGPOのみ有効で、これが最有力です。（OUは無効）

ドメイン既定のGPOが未定義であった場合は、ドメインコントローラに定義されている【ローカルセキュリティポリシー 】がドメイン全体へ適用されます。（注！Default Domain Controllers PolicyではなくDCのローカルセキュリティポリシーです。尚、既定でDefault Domain Policyにはアカウントポリシーが設定されているため、手動で未定義に設定しない限りこういったことは起こりません。）

　

適用順

◎ ドメインルートにリンクされた既定のGPO（通常はDefault Domain Policy）が適用

 ↓

◎ ドメインGPOで未定義のポリシーは、ドメインコントローラのローカルセキュリティポリシーが適用
（ローカルセキュリティポリシーには未定義はないのでこれが既定となる。尚、Default Domain Policyで未定義にしない限り、ローカルセキュリティポリシーはグレーアウトされるため設定することはできません。）

ドメインコントローラにもドメインルートのGPOが適用される

ドメインコントローラにも既定のドメインGPOが適用されます。そのドメイン コントローラが属す OU に異なるアカウント ポリシーが適用されている場合も、常にドメインのルートのアカウント ポリシーが使用されます。アカウントポリシーは全てドメインレベルで適用される、と理解 しましょう。

現在クライアントコンピュータに適用されているアカウントポリシーを確認する方法

クライアントコンピュータに現在適用されているアカウントポリシーが分かりづらい場合があります。理由は以下の仕様によるものです。

• ローカルセキュリティポリシーを確認するとOUにリンクしたGPOのアカウントポリシーが表示される。（ポリシー が適用されているように見える）

• ドメインポリシーを「未定義」にすると、DCのローカルセキュリティポリシーが適用されるが、クライアントコンピューターのローカルセキュリティポリシーを確認してもこれは表示されないため適用されてい るものと一致していない場合がある。

• ドメインポリシーを「未定義」にすると「ポリシーの結果セット」では未定義となってしまい、現在のポリシーが確認できない。

現在クライアントコンピュータに適用されているアカウントポリシーは、以下のコマンドで確認できます。
→ コマンドプロンプト画面を表示し、「net accounts /domain」と入力
▼現在適用されているアカウントポリシーが表示される

もし、 ドメインで一意である「アカウントポリシー」と異なる内容を定義したい場合は、ユーザーアカウントに個別に設定しましょう。ADのユーザーアカウントの「プロパティ」−「アカウント」タブでいくつかのアカウントポリシーと同じ内容を定義できます。