きめ細かいパスワードポリシー(PSO)の実装~その3~

きめ細かいパスワードポリシー(PSO)の実装をすることによってドメイン配下の「Default Domain Policy」によって制御されていたパスワードポリシーがPSOの制御にシフトされます。

ではPSOによって制御されないユーザーおよびグループはどうなるのでしょうか?

そこでパスワードポリシーの優先順位をまとめます。

  1. PSOのユーザー
  2. PSOのグループ
  3. ドメイン配下のGPO(Default Domain Policy)

ユーザーに対するPSOが最も優先されることになります。ここで重要なことはユーザーに対して設定されるパスワードポリシーとして適用できるPSOは1つだけです。

適用するPSOが複数ある場合は優先順位の設定(msDS-PasswordSettingsPrecedence)の値が最も小さいものが優先されます。もし優先順位が同じ場合はGUIDが最も小さいPSOが適用されます。

このことから考えると、優先順位の計画はしっかりと行う必要性があります。そしてPSOの優先順位の値は10単位で設定するのが、わかりやすくていいかな?

ここであるシナリオを考えます。

ABC社のセキュリティポリシーではすべてのユーザーは8文字以上で複雑性の要件を満たすパスワードにしなくてはいけません。さらに管理者であるITadminsグループのメンバーは10文字以上のパスワードを要求することになっています。また組織全体の管理を行っているEnterprise Adminsグループのメンバーは一週間ごとにパスワード変更を行わなくてはいけません。

Don HallはITadminsのメンバーでもありEnterprise Adminsのメンバーでもあります。

この場合の実装方法としては

  • 一般ユーザーにはドメイン配下のGPOで対応する
  • ITadminsグループ用にPSOを作成する
  • Enterprise Adminsグループ用にPSOを作成して、ITadminsグループ用のPSOの優先順位の設定値よりも小さい値にするアプローチと、Don Hallユーザー用のPSOを作成する方法があります

では実際に各ユーザーにどのPSOが適用されているかの確認方法としては次の通り

  • 「Actice Directory ユーザーとコンピューター」より、「表示」の「拡張機能」が有効になっていることを確認してから、ユーザーの「プロパティ」>「属性エディタ」タブの[msDS-ResultantPSO]属性を確認する方法。[msDS-ResultantPSO]属性が見つからない場合は、「フィルタ」の「読み取り専用属性の表示」の「構成済み」オプションを有効にする必要があります。
    PSO4
  • コマンドによる確認
    dsget user <ユーザーの識別名> –effectivepso
    PSO5

これにより確認ができます。

[msDS-ResultantPSO]属性が「未構成」の場合はPSOが適用されていないことになりますので、この場合は通常「Default Domain Policy」に設定されているパスワードポリシーが適用されるということになります。

スポンサーリンク
レクタングル(大)広告
レクタングル(大)広告
  • このエントリーをはてなブックマークに追加

コメントをどうぞ

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

*

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください