PSO実装時の考慮点
- PSO設定に専用ツールはないので、ADSIエディタまたはLDIFDEを使用する
- PSOはユーザーまたはグローバルグループにのみ適用できる
- ドメイン機能レベルがWindows Server 2008でなくてはいけない
(参考)細かい設定が可能なパスワードおよびアカウント ロックアウトのポリシー設定
あらかじめこれから作成するPSOの内容を決めておくことをお勧めします。決めておかなくてはならない項目は次の通り
PSOには既定のドメイン ポリシーで定義可能なすべての設定の属性が備わっています (Kerberos 設定は除く)。
この設定には、次のパスワード設定の属性があります。
- パスワードの履歴を記録する (msDS-PasswordHistoryLength)
0~1024 - パスワードの有効期間 (msDS-MaximumPasswordAge)
msDS-MinimumPasswordAge値~
なし - パスワードの変更禁止期間 (msDS-MinimumPasswordAge)
00:00:00:00(日:時:分:秒)
なし - パスワードの長さ (msDS-MinimumPasswordLength)
0~255 - パスワードは、複雑さの要件を満たす必要がある (msDS-Password-ComplexityEnabled)
FALSE/TRUE(推奨値:TRUE) - 暗号化を元に戻せる状態でパスワードを保存する (msDS-PasswordReversibleEncryptionEnabled)
FALSE/TRUE(推奨値:FALSE)
これらの設定には、次のアカウント ロックアウト設定の属性も含まれます。
- ロックアウト期間 (msDS-LockoutDuration)
msDS-LockoutObservationWindow値~
なし - アカウントのロックアウトのしきい値 (msDS-LockoutThreshold)
アカウント ロックアウトのポリシーを無効にするには、msDS-LockoutThreshold 属性に値 0 を指定します
0~65535 - ロックアウト カウンタのリセット (msDS-LockoutObservationWindow)
00:00:00:01~msDS-LockoutDuration値
なし
2010/03/09 追記
*なし の項目は(なし)と入力する必要があります<半角のかっこ”(”と、日本語の”なし”と半角のかっこ”)”>ただし、インターフェイスは日本語入力ができないのでメモ帳で入力し、コピー&ペーストで張り付ける必要があります。
さらに、PSO には次の 2 つの新しい属性があります。
- PSO リンク (msDS-PSOAppliesTo)
ユーザー オブジェクトまたはグループ オブジェクトにリンクされる複数値属性です。 - 優先順位 (msDS-PasswordSettingsPrecedence)
ユーザーオブジェクト またはグループ オブジェクトに複数の PSO が適用されている場合に、競合を解決するために使用される整数値です。
msDS-PSOAppliesTo を除くすべての属性は、mustHave 属性です。つまり、各属性に値を指定する必要があります。異なる PSO の設定を結合することはできません。
