・DC アカウントポリシー
Last-modified: 2020-03-17 (火) 14:28:00
Top/・DC アカウントポリシー
・レベル1セキュリティ構成(Windows 10)
・Windows Server 2016 Domain Controller
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[アカウント ポリシー] †
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[アカウント ポリシー]>[パスワードのポリシー] †
| ポリシー設定 | 値 | 説明 |
| パスワードの長さ | 14文字 | このセキュリティ設定は、ユーザー アカウントのパスワードに使用できる最少文字数を決定します。1 から 20 文字に設定するか、文字数を 0 に設定してパスワードを不要にします。 既定値: 7 (ドメイン コントローラーの場合) 0 (スタンドアロン サーバーの場合) 注意: 既定では、メンバー コンピューターはそのドメイン コントローラーの構成に従います。 |
| パスワードの変更禁止期間 | 1日 | このセキュリティ設定は、パスワードが変更可能になるまでの期間 (日数) を決定します。この期間内は、同じパスワードを使わなければなりません。1 から 998 までの日数を指定するか、または日数を 0 に設定してすぐに変更できるようにします。パスワード有効期間が 0 (有効期限が無期限) に設定されている場合を除き、パスワードの変更禁止期間には、パスワード有効期間よりも短い値を設定してください。パスワードの有効期間が 0 に設定されている場合は、パスワード変更禁止期間として 0 から 998 までの日数を指定できます。 [パスワードの履歴を記録する] を有効にする場合は、パスワードの変更禁止期間を 1 以上に設定してください。パスワードの変更禁止期間を指定しない場合、ユーザーはパスワードを繰り返し変更して、以前のパスワードを再度利用することができます。既定の設定はこの推奨事項に従っていません。これは、管理者がユーザーのパスワードを設定しておき、管理者指定のパスワードをログオン時に変更するようユーザーに要求できるようにするためです。パスワードの履歴が 0 の場合、ユーザーは新しいパスワードを設定する必要がありません。このため、[パスワードの履歴を記録する] の既定値は 1 に設定されています。 既定値:1 (ドメイン コントローラーの場合)0 (スタンドアロン サーバーの場合) 注意: 既定では、メンバー コンピューターはそのドメイン コントローラーの構成に従います。 |
| パスワードの有効期間 | 60日間 | このセキュリティ設定は、1 つのパスワードを使用できる期間 (日数) を決定します。この期間を過ぎると、システムから変更するよう要求されます。有効期間として 1 から 999 までの日数を指定するか、日数を 0 に設定してパスワードの有効期限が切れないように指定します。パスワードの有効期間が 1 から 999 日の場合、パスワードの変更禁止期間にはこの有効期間よりも短い日数を指定してください。パスワードの有効期間が 0 に設定されている場合は、パスワードの変更禁止期間として 0 から 998 までの日数を指定できます。 注意: ご使用の環境に応じて、パスワードの有効期間を 30 から 90 日間に設定しておくとセキュリティ上最も効果的です。これにより、攻撃者がユーザー パスワードの解読とネットワーク リソースへのアクセスに使用できる時間が制限されます。 既定値: 42 |
| パスワードの履歴を記録する | 24回 | このセキュリティ設定は、以前使ったことがあるパスワードをもう一度使用できるようになるまでに、ユーザー アカウントに関連付ける必要がある異なる新しいパスワードの数を決定します。0 から 24 までの値を指定してください。このポリシーを使用すると、管理者は古いパスワードの継続使用を防ぐことによってセキュリティを強化できます。既定値:24 (ドメイン コントローラーの場合)0 (スタンドアロン サーバーの場合) 注意: 既定では、メンバー コンピューターはそのドメイン コントローラーの構成に従います。パスワードの履歴の有効性を保つために、パスワードの変更禁止期間セキュリティ ポリシーも有効にして、パスワードを変更した直後にはパスワードを変更できないようにしてください。パスワードの変更禁止期間セキュリティ ポリシーの詳細については、「パスワードの変更禁止期間」を参照してください。 |
| 暗号化を元に戻せる状態でパスワードを保存する | 無効 | このセキュリティ設定は、オペレーティング システムが暗号化を元に戻せる状態でパスワードを保存するかどうかを決定します。 このポリシーは、認証用にユーザーのパスワード情報が必要なプロトコルを使用するアプリケーションをサポートします。暗号化を元に戻せる状態でパスワードを保存するということは、実質的にパスワードをプレーンテキストで保存するのと同じことです。このため、パスワード情報の保護よりもアプリケーションの要件が優先される場合以外は、このポリシーを有効にしないでください。 このポリシーは、リモート アクセスまたはインターネット認証サービス (IAS) でチャレンジ ハンドシェイク認証プロトコル (CHAP) 認証を使用する場合に必要です。また、インターネット インフォメーション サービス (IIS) でダイジェスト認証を使用する場合にも必要です。 既定値: 無効 |
| 複雑さの要件を満たす必要があるパスワード | 有効 | このセキュリティ設定は、パスワードが複雑さの要件を満たす必要があるかどうかを決定します。このポリシーが有効な場合、パスワードは次の最小要件を満たす必要があります。 ユーザーのアカウント名またはフル ネームに含まれる 3 文字以上連続する文字列を使用しない。 長さは 6 文字以上にする。 次の 4 つのカテゴリのうち 3 つから文字を使う。 英大文字 (A から Z)英小文字 (a から z) 10 進数の数字 (0 から 9) アルファベット以外の文字 (!、$、#、% など) 複雑さの要件は、パスワードの変更時または作成時に強制的に適用されます。 既定値: 有効 (ドメイン コントローラーの場合) 無効 (スタンドアロン サーバーの場合) 注意: 既定では、メンバー コンピューターはそのドメイン コントローラーの構成に従います。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[アカウント ポリシー]>[アカウント ロックアウトのポリシー] †
| ポリシー設定 | 値 | 説明 |
| アカウントのロックアウトのしきい値 | 3回 | このセキュリティ設定は、ユーザー アカウントがロックアウトされる原因となるログオン失敗回数を決定します。ロックアウトされたアカウントは、管理者がリセットするか、そのアカウントのロックアウト期間が過ぎるまで使用できません。ログオン失敗回数として 0 から 999 までの値を設定できます。この値を 0 に設定すると、アカウントがロックアウトされることはありません。 Ctrl + Alt + Del キーまたはパスワード保護されたスクリーン セーバーを使ってロックされているワークステーションまたはメンバー サーバーの場合、パスワードの失敗はログオンの失敗としてカウントされます。 既定値: 0 |
| ロックアウト カウンターのリセット | 15分 | このセキュリティ設定は、ログオン失敗後、ログオン失敗のカウンターが 0 (不良ログオン試行) にリセットされるまでに必要な時間を分単位で指定します。設定できる時間は、1 から 99,999 分です。 アカウント ロックアウトのしきい値が定義されている場合は、このリセット時間をロックアウト期間と同じかそれ以下にしてください。 既定値: なし。このポリシーの設定は、アカウントのロックアウトのしきい値が指定されている場合のみ有効です。 |
| ロックアウト期間 | 15分 | このセキュリティ設定は、ロックアウトされたアカウントが自動的にロック解除されるまでのロックアウト期間を分単位で指定します。設定できる時間は、0 から 99,999 分です。ロックアウト期間を 0 に設定すると、管理者が明示的にロックを解除するまでアカウントはロックアウトされます。 アカウント ロックアウトのしきい値が定義されている場合は、アカウント ロックアウト期間をリセット時間と同じかそれ以上にしてください。 既定値: なし。このポリシーの設定は、[アカウントのロックアウトのしきい値] が設定されている場合のみ有効です。 |
Microsoft®、Windows®、Windows® Server 2016、Windows® 10は、米国Microsoft Corporation.の米国およびその他の国における登録商標です。 その他、すべてのページに記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。