search
LoginSignup
3

More than 5 years have passed since last update.

posted at

-ActiveDirectory-きめ細かいパスワードポリシー(PSO)の設定

きめ細かいパスワードポリシー(PSO)とは

GPOで設定可能なパスワードポリシー設定とは異なり、ユーザごと、グループごとにパスワードポリシーの設定ができるもの。

設定方法

※今回設定を行ったのはAWSのMSAD、win2012の環境です※

スタート > ActiveDirectory管理センター > 該当ドメインフォルダ > [System] > [Password Setting Container]
PSO01.png

CustomerPSO-01〜05まで表示があります。
優先順位は数が小さいものから優先されます。
今回は01のもので設定を行いました。

[パスワードの設定]で希望の設定値に設定を行ったら、[直接の適用先]で適用を行いたいユーザやグループの選択を行います。

PSO.png

設定を行ったのち[OK]をクリックすれば設定は完了です。

適用後の確認方法

今回頭を悩ませたのが、この確認方法です。

はじめはNet Userコマンドでユーザの情報を確認していたためPSOで適用したはずのポリシー内容が反映されていませんでした。

よくよく調べてみると、Net Userコマンドでは、カスタムパスワードポリシーの情報を取得することがきないとのこと。
カスタムパスワードポリシーが適用されているかどうかを確認する場合は、以下のコマンドで。

Get-ADUserResultantPasswordPolicy -Identity <ユーザー名>

もしくは、以下。

> dsget user “CN=test,OU=Users,OU=test,DC=test,DC=intra” -effectivepso
  effectivepso
  “CN=CustomerPSO-01,CN=Password Settings Container,CN=System,DC=test,DC=intra”
dsget 成功

PSOの設定を行ったユーザのプロパティ > 属性エディターからも確認できます。
属性エディターの[msDS-ResualtantPSO]に適用したPSOが表示されていればOK。
ちなみに[msDS-ResualtantPSO]既定では非表示になっているため[フィルター]から[構築済み]を選択すると表示されるようになります。

PSO03.png

PSOの設定を行った場合のポリシーの適用順位

PSOとGPOの両方が設定されている場合、適用される優先順位は以下の通り。

1.PSOのユーザー
2.PSOのグループ
3.ドメイン配下のGPO(Default Domain Policy)

PSOが設定されていないユーザに関してはGPOが適用されるようになっています。

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
What you can do with signing up
3