トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・DC アカウントポリシー のバックアップ(No.2)

・Windows Server 2016 Domain Controller

[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[アカウント ポリシー]

パスワードのポリシー

ポリシー設定ポリシー値説明
パスワードの長さ14文字このセキュリティ設定は、ユーザー アカウントのパスワードに使用できる最少文字数を決定します。1 から 20 文字に設定するか、文字数を 0 に設定してパスワードを不要にします。
既定値:
7 (ドメイン コントローラーの場合)
0 (スタンドアロン サーバーの場合)
注意: 既定では、メンバー コンピューターはそのドメイン コントローラーの構成に従います。
パスワードの変更禁止期間1日このセキュリティ設定は、パスワードが変更可能になるまでの期間 (日数) を決定します。この期間内は、同じパスワードを使わなければなりません。1 から 998 までの日数を指定するか、または日数を 0 に設定してすぐに変更できるようにします。
パスワード有効期間が 0 (有効期限が無期限) に設定されている場合を除き、パスワードの変更禁止期間には、パスワード有効期間よりも短い値を設定してください。パスワードの有効期間が 0 に設定されている場合は、パスワード変更禁止期間として 0 から 998 までの日数を指定できます。
[パスワードの履歴を記録する] を有効にする場合は、パスワードの変更禁止期間を 1 以上に設定してください。パスワードの変更禁止期間を指定しない場合、ユーザーはパスワードを繰り返し変更して、以前のパスワードを再度利用することができます。既定の設定はこの推奨事項に従っていません。これは、管理者がユーザーのパスワードを設定しておき、管理者指定のパスワードをログオン時に変更するようユーザーに要求できるようにするためです。パスワードの履歴が 0 の場合、ユーザーは新しいパスワードを設定する必要がありません。このため、[パスワードの履歴を記録する] の既定値は 1 に設定されています。
既定値:
1 (ドメイン コントローラーの場合)
0 (スタンドアロン サーバーの場合)
注意: 既定では、メンバー コンピューターはそのドメイン コントローラーの構成に従います。
パスワードの有効期間60日間このセキュリティ設定は、1 つのパスワードを使用できる期間 (日数) を決定します。この期間を過ぎると、システムから変更するよう要求されます。有効期間として 1 から 999 までの日数を指定するか、日数を 0 に設定してパスワードの有効期限が切れないように指定します。パスワードの有効期間が 1 から 999 日の場合、パスワードの変更禁止期間にはこの有効期間よりも短い日数を指定してください。パスワードの有効期間が 0 に設定されている場合は、パスワードの変更禁止期間として 0 から 998 までの日数を指定できます。
注意: ご使用の環境に応じて、パスワードの有効期間を 30 から 90 日間に設定しておくとセキュリティ上最も効果的です。これにより、攻撃者がユーザー パスワードの解読とネットワーク リソースへのアクセスに使用できる時間が制限されます。
既定値: 42
パスワードの長さ14ユーザーアカウントのパスワードに含めることができる最小文字数。
パスワードの履歴を記録する24古いパスワードを再利用する前にユーザーアカウントに関連付ける必要がある一意の新しいパスワードの数。
パスワードの履歴を記録する24回このセキュリティ設定は、以前使ったことがあるパスワードをもう一度使用できるようになるまでに、ユーザー アカウントに関連付ける必要がある異なる新しいパスワードの数を決定します。0 から 24 までの値を指定してください。
このポリシーを使用すると、管理者は古いパスワードの継続使用を防ぐことによってセキュリティを強化できます。
既定値:
24 (ドメイン コントローラーの場合)
0 (スタンドアロン サーバーの場合)
注意: 既定では、メンバー コンピューターはそのドメイン コントローラーの構成に従います。
パスワードの履歴の有効性を保つために、パスワードの変更禁止期間セキュリティ ポリシーも有効にして、パスワードを変更した直後にはパスワードを変更できないようにしてください。パスワードの変更禁止期間セキュリティ ポリシーの詳細については、「パスワードの変更禁止期間」を参照してください。
複雑さの要件を満たす必要があるパスワード有効このセキュリティ設定は、パスワードが複雑さの要件を満たす必要があるかどうかを決定します。
このポリシーが有効な場合、パスワードは次の最小要件を満たす必要があります。
ユーザーのアカウント名またはフル ネームに含まれる 3 文字以上連続する文字列を使用しない。
長さは 6 文字以上にする。
次の 4 つのカテゴリのうち 3 つから文字を使う。
英大文字 (A から Z)
英小文字 (a から z)
10 進数の数字 (0 から 9)
アルファベット以外の文字 (!、$、#、% など)
複雑さの要件は、パスワードの変更時または作成時に強制的に適用されます。
既定値:
有効 (ドメイン コントローラーの場合)
無効 (スタンドアロン サーバーの場合)
注意: 既定では、メンバー コンピューターはそのドメイン コントローラーの構成に従います。
暗号化を元に戻せる状態でパスワードを保存する無効このセキュリティ設定は、オペレーティング システムが暗号化を元に戻せる状態でパスワードを保存するかどうかを決定します。
このポリシーは、認証用にユーザーのパスワード情報が必要なプロトコルを使用するアプリケーションをサポートします。暗号化を元に戻せる状態でパスワードを保存するということは、実質的にパスワードをプレーンテキストで保存するのと同じことです。このため、パスワード情報の保護よりもアプリケーションの要件が優先される場合以外は、このポリシーを有効にしないでください。
このポリシーは、リモート アクセスまたはインターネット認証サービス (IAS) でチャレンジ ハンドシェイク認証プロトコル (CHAP) 認証を使用する場合に必要です。また、インターネット インフォメーション サービス (IIS) でダイジェスト認証を使用する場合にも必要です。
既定値: 無効
暗号化を元に戻せる状態でパスワードを保存する無効オペレーティングシステムが可逆暗号化を使用してパスワードを保存するかどうかを決定します。
複雑さの要件を満たす必要があるパスワード有効パスワードが複雑さの要件を満たす必要があるかどうかを決定します。
1) ユーザーのsamAccountName(アカウント名)値もdisplayName(フルネームの値)全体も含まれません。どちらのチェックでも、大文字と小文字は区別されません。
samAccountNameはパスワードの一部であるかどうかを判断するためだけに全体がチェックされます。samAccountNameの長さが3文字未満の場合、このチェックはスキップされます。displayNameは、カンマ、ピリオド、ダッシュ、ハイフン、アンダースコア、スペース、シャープ記号、タブなどの区切り記号で解析されます。これらの区切り文字のいずれかが見つかった場合、displayNameは分割され、解析されたすべてのセクション(トークン)がパスワードに含まれていないことが確認されます。3文字未満のトークンは無視され、トークンの部分文字列は検査されません。たとえば、"Erin M. Hagens" という名前は、"Erin"、「M」、"Hagens" という3つのトークンに分割されます。2番目のトークンは1文字しかないため、無視されます。したがって、このユーザーは、"Erin" または "Hagens" のいずれかを部分文字列として含むパスワードをパスワードのどこにも持つことができませんでした。
2) 次の3つのカテゴリの文字が含まれます。
-ヨーロッパ言語の大文字(発音区別符号付きのA~Z、ギリシャ文字とキリル文字)
-ヨーロッパ言語の小文字(a~z、sharp-s (発音区別符号あり)、ギリシャ文字およびキリル文字)
-基数10桁(0から9)
-英数字以外の文字(特殊文字):(~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
ユーロや英ポンドなどの通貨記号は、このポリシー設定では特殊文字としてカウントされません。
-アルファベット文字として分類されているが、大文字または小文字ではない任意のUnicode文字。これには、アジア言語のUnicode文字も含まれます。

アカウント ロックアウトのポリシー

ポリシー設定ポリシー値説明
アカウントのロックアウトのしきい値3回ユーザーアカウントがロックアウトされるログオン試行の失敗回数。ロックアウトされたアカウントは、管理者によってリセットされるか、アカウントのロックアウト期間が終了するまで使用できません。
ロックアウト カウンターのリセット15分ログオン試行の失敗後、ログオン試行の失敗カウンターが0回のログオン試行の失敗にリセットされるまでに経過する必要がある分数。
ロックアウト期間15分ロックアウトされたアカウントが自動的にロック解除されるまでロックアウトされたままである分数。アカウントロックアウトしきい値が定義されている場合、アカウントロックアウト期間はリセット時間以上でなければなりません。