パスワードポリシーでパスワードの最小文字数を変更する際にちょっとハマったのでメモ
グループポリシーのコンピュータポリシーがVPN接続化だと適用されない事件
サインインした後にVPNを接続するような感じだと、コンピュータポリシーが適用されるタイミングを逃してしまう。
これまでそんな状況下で使ったことが無かったので知らなかった。
ユーザAでVPN張って、ユーザBにユーザ切替をしてもダメ
PC起動時にADとやり取りできないと適用されないっぽい
グループポリシー以外に適用する方法はないのか
調査するとグループポリシーの他に
- FGPP
- PSO(Password Setting Object)
という方法があった。
PSOが後発で設定しやすそうなのでそちらを使うことに
PSO調べたことのざっくりまとめ
詳細は調査してください。
操作も簡単なので割愛
- Windows Server 2008から登場、当時はADSI editで設定する必要があった。
- なのでStackOverflowなどにADSI edit使うべしって記述がある
- Windows Server 2012からGUIが発達して使いやすくなった。
- GPOよりもPSOが優先される
- PSOを設定したらどうなるか
- 既存の認証には影響なし
- PSO設定後のパスワード変更時から適用される
- 上記から既存ユーザにパスワードを変更させる必要がある。
- PSOの適用状況はサーバから確認できる。ユーザ側での確認方法で簡単なものは見つけられなかった。
- ユーザ又はグローバルグループに適用可能。
- GPOのためセキュリティグループを発行していると思うので、基本それを活用できる。