・DC アカウントポリシー のバックアップ差分(No.3)

• バックアップ一覧
• 現在との差分 を表示
• ソース を表示
• バックアップ を表示
• ・DC アカウントポリシー へ行く。
  • 1 (2020-02-12 (水) 09:47:07)
  • 2 (2020-02-12 (水) 11:25:52)
  • 3 (2020-02-20 (木) 16:37:05)
  • 4 (2020-02-20 (木) 18:03:02)
  • 5 (2020-02-25 (火) 09:28:25)

• 追加された行はこの色です。
• 削除された行はこの色です。

#author("2020-02-12T11:25:52+09:00","","")
[[・Windows Server 2016 Domain Controller]]
*[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[アカウント ポリシー] [#g28d655c]
**パスワードのポリシー [#o8cf3f96]
#author("2020-02-20T16:37:05+09:00","","")
*[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[アカウント ポリシー] [#g01eb60c]
&br;
&br;
**[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[アカウント ポリシー]>[パスワードのポリシー] [#ba966796]
|100|100||c
|ポリシー設定|ポリシー値|説明|h
|パスワードの長さ|14文字|このセキュリティ設定は、ユーザー アカウントのパスワードに使用できる最少文字数を決定します。1 から 20 文字に設定するか、文字数を 0 に設定してパスワードを不要にします。&br;既定値:&br;7 (ドメイン コントローラーの場合)&br;0 (スタンドアロン サーバーの場合)&br;注意: 既定では、メンバー コンピューターはそのドメイン コントローラーの構成に従います。|
|パスワードの変更禁止期間|1日|このセキュリティ設定は、パスワードが変更可能になるまでの期間 (日数) を決定します。この期間内は、同じパスワードを使わなければなりません。1 から 998 までの日数を指定するか、または日数を 0 に設定してすぐに変更できるようにします。&br;パスワード有効期間が 0 (有効期限が無期限) に設定されている場合を除き、パスワードの変更禁止期間には、パスワード有効期間よりも短い値を設定してください。パスワードの有効期間が 0 に設定されている場合は、パスワード変更禁止期間として 0 から 998 までの日数を指定できます。&br;[パスワードの履歴を記録する] を有効にする場合は、パスワードの変更禁止期間を 1 以上に設定してください。パスワードの変更禁止期間を指定しない場合、ユーザーはパスワードを繰り返し変更して、以前のパスワードを再度利用することができます。既定の設定はこの推奨事項に従っていません。これは、管理者がユーザーのパスワードを設定しておき、管理者指定のパスワードをログオン時に変更するようユーザーに要求できるようにするためです。パスワードの履歴が 0 の場合、ユーザーは新しいパスワードを設定する必要がありません。このため、[パスワードの履歴を記録する] の既定値は 1 に設定されています。&br;既定値:&br;1 (ドメイン コントローラーの場合)&br;0 (スタンドアロン サーバーの場合)&br;注意: 既定では、メンバー コンピューターはそのドメイン コントローラーの構成に従います。|
|パスワードの変更禁止期間|1日|このセキュリティ設定は、パスワードが変更可能になるまでの期間 (日数) を決定します。この期間内は、同じパスワードを使わなければなりません。1 から 998 までの日数を指定するか、または日数を 0 に設定してすぐに変更できるようにします。パスワード有効期間が 0 (有効期限が無期限) に設定されている場合を除き、パスワードの変更禁止期間には、パスワード有効期間よりも短い値を設定してください。パスワードの有効期間が 0 に設定されている場合は、パスワード変更禁止期間として 0 から 998 までの日数を指定できます。&br;[パスワードの履歴を記録する] を有効にする場合は、パスワードの変更禁止期間を 1 以上に設定してください。パスワードの変更禁止期間を指定しない場合、ユーザーはパスワードを繰り返し変更して、以前のパスワードを再度利用することができます。既定の設定はこの推奨事項に従っていません。これは、管理者がユーザーのパスワードを設定しておき、管理者指定のパスワードをログオン時に変更するようユーザーに要求できるようにするためです。パスワードの履歴が 0 の場合、ユーザーは新しいパスワードを設定する必要がありません。このため、[パスワードの履歴を記録する] の既定値は 1 に設定されています。&br;既定値:1 (ドメイン コントローラーの場合)0 (スタンドアロン サーバーの場合)&br;注意: 既定では、メンバー コンピューターはそのドメイン コントローラーの構成に従います。|
|パスワードの有効期間|60日間|このセキュリティ設定は、1 つのパスワードを使用できる期間 (日数) を決定します。この期間を過ぎると、システムから変更するよう要求されます。有効期間として 1 から 999 までの日数を指定するか、日数を 0 に設定してパスワードの有効期限が切れないように指定します。パスワードの有効期間が 1 から 999 日の場合、パスワードの変更禁止期間にはこの有効期間よりも短い日数を指定してください。パスワードの有効期間が 0 に設定されている場合は、パスワードの変更禁止期間として 0 から 998 までの日数を指定できます。&br;注意: ご使用の環境に応じて、パスワードの有効期間を 30 から 90 日間に設定しておくとセキュリティ上最も効果的です。これにより、攻撃者がユーザー パスワードの解読とネットワーク リソースへのアクセスに使用できる時間が制限されます。&br;既定値: 42|
|パスワードの長さ|14|ユーザーアカウントのパスワードに含めることができる最小文字数。|
|パスワードの履歴を記録する|24|古いパスワードを再利用する前にユーザーアカウントに関連付ける必要がある一意の新しいパスワードの数。|
|パスワードの履歴を記録する|24回|このセキュリティ設定は、以前使ったことがあるパスワードをもう一度使用できるようになるまでに、ユーザー アカウントに関連付ける必要がある異なる新しいパスワードの数を決定します。0 から 24 までの値を指定してください。&br;このポリシーを使用すると、管理者は古いパスワードの継続使用を防ぐことによってセキュリティを強化できます。&br;既定値:&br;24 (ドメイン コントローラーの場合)&br;0 (スタンドアロン サーバーの場合)&br;注意: 既定では、メンバー コンピューターはそのドメイン コントローラーの構成に従います。&br;パスワードの履歴の有効性を保つために、パスワードの変更禁止期間セキュリティ ポリシーも有効にして、パスワードを変更した直後にはパスワードを変更できないようにしてください。パスワードの変更禁止期間セキュリティ ポリシーの詳細については、「パスワードの変更禁止期間」を参照してください。|
|複雑さの要件を満たす必要があるパスワード|有効|このセキュリティ設定は、パスワードが複雑さの要件を満たす必要があるかどうかを決定します。&br;このポリシーが有効な場合、パスワードは次の最小要件を満たす必要があります。&br;ユーザーのアカウント名またはフル ネームに含まれる 3 文字以上連続する文字列を使用しない。&br;長さは 6 文字以上にする。&br;次の 4 つのカテゴリのうち 3 つから文字を使う。&br;英大文字 (A から Z)&br;英小文字 (a から z)&br;10 進数の数字 (0 から 9)&br;アルファベット以外の文字 (!、$、#、% など)&br;複雑さの要件は、パスワードの変更時または作成時に強制的に適用されます。&br;既定値:&br;有効 (ドメイン コントローラーの場合)&br;無効 (スタンドアロン サーバーの場合)&br;注意: 既定では、メンバー コンピューターはそのドメイン コントローラーの構成に従います。|
|パスワードの履歴を記録する|24回|このセキュリティ設定は、以前使ったことがあるパスワードをもう一度使用できるようになるまでに、ユーザー アカウントに関連付ける必要がある異なる新しいパスワードの数を決定します。0 から 24 までの値を指定してください。このポリシーを使用すると、管理者は古いパスワードの継続使用を防ぐことによってセキュリティを強化できます。既定値:24 (ドメイン コントローラーの場合)0 (スタンドアロン サーバーの場合)&br;注意: 既定では、メンバー コンピューターはそのドメイン コントローラーの構成に従います。パスワードの履歴の有効性を保つために、パスワードの変更禁止期間セキュリティ ポリシーも有効にして、パスワードを変更した直後にはパスワードを変更できないようにしてください。パスワードの変更禁止期間セキュリティ ポリシーの詳細については、「パスワードの変更禁止期間」を参照してください。|
|暗号化を元に戻せる状態でパスワードを保存する|無効|このセキュリティ設定は、オペレーティング システムが暗号化を元に戻せる状態でパスワードを保存するかどうかを決定します。&br;このポリシーは、認証用にユーザーのパスワード情報が必要なプロトコルを使用するアプリケーションをサポートします。暗号化を元に戻せる状態でパスワードを保存するということは、実質的にパスワードをプレーンテキストで保存するのと同じことです。このため、パスワード情報の保護よりもアプリケーションの要件が優先される場合以外は、このポリシーを有効にしないでください。&br;このポリシーは、リモート アクセスまたはインターネット認証サービス (IAS) でチャレンジ ハンドシェイク認証プロトコル (CHAP) 認証を使用する場合に必要です。また、インターネット インフォメーション サービス (IIS) でダイジェスト認証を使用する場合にも必要です。&br;既定値: 無効|
|暗号化を元に戻せる状態でパスワードを保存する|無効|オペレーティングシステムが可逆暗号化を使用してパスワードを保存するかどうかを決定します。|
|複雑さの要件を満たす必要があるパスワード|有効|パスワードが複雑さの要件を満たす必要があるかどうかを決定します。&br;1) ユーザーのsam&#x41;ccountName(アカウント名)値もdisplayName(フルネームの値)全体も含まれません。どちらのチェックでも、大文字と小文字は区別されません。&br;sam&#x41;ccountNameはパスワードの一部であるかどうかを判断するためだけに全体がチェックされます。sam&#x41;ccountNameの長さが3文字未満の場合、このチェックはスキップされます。displayNameは、カンマ、ピリオド、ダッシュ、ハイフン、アンダースコア、スペース、シャープ記号、タブなどの区切り記号で解析されます。これらの区切り文字のいずれかが見つかった場合、displayNameは分割され、解析されたすべてのセクション(トークン)がパスワードに含まれていないことが確認されます。3文字未満のトークンは無視され、トークンの部分文字列は検査されません。たとえば、"Erin M. Hagens" という名前は、"Erin"、「M」、"Hagens" という3つのトークンに分割されます。2番目のトークンは1文字しかないため、無視されます。したがって、このユーザーは、"Erin" または "Hagens" のいずれかを部分文字列として含むパスワードをパスワードのどこにも持つことができませんでした。&br;2) 次の3つのカテゴリの文字が含まれます。&br;-ヨーロッパ言語の大文字(発音区別符号付きのA~Z、ギリシャ文字とキリル文字)&br;-ヨーロッパ言語の小文字(a~z、sharp-s (発音区別符号あり)、ギリシャ文字およびキリル文字)&br;-基数10桁(0から9)&br;-英数字以外の文字(特殊文字):(~!@#$%^&*_-+=`&#x7c;\(){}[]:;"'<>,.?/)&br;ユーロや英ポンドなどの通貨記号は、このポリシー設定では特殊文字としてカウントされません。&br;-アルファベット文字として分類されているが、大文字または小文字ではない任意のUnicode文字。これには、アジア言語のUnicode文字も含まれます。|

**アカウント ロックアウトのポリシー [#f90a51cf]
|複雑さの要件を満たす必要があるパスワード|有効|このセキュリティ設定は、パスワードが複雑さの要件を満たす必要があるかどうかを決定します。このポリシーが有効な場合、パスワードは次の最小要件を満たす必要があります。&br;ユーザーのアカウント名またはフル ネームに含まれる 3 文字以上連続する文字列を使用しない。&br;長さは 6 文字以上にする。&br;次の 4 つのカテゴリのうち 3 つから文字を使う。&br;英大文字 (A から Z)英小文字 (a から z)&br;10 進数の数字 (0 から 9)&br;アルファベット以外の文字 (!、$、#、% など)&br;複雑さの要件は、パスワードの変更時または作成時に強制的に適用されます。&br;既定値:&br;有効 (ドメイン コントローラーの場合)&br;無効 (スタンドアロン サーバーの場合)&br;注意: 既定では、メンバー コンピューターはそのドメイン コントローラーの構成に従います。|
&br;
**[コンピュータの構成]>[ポリシー]>[Windows の設定]>[セキュリティの設定]>[アカウント ポリシー]>[アカウント ロックアウトのポリシー] [#m329031a]
|100|100||c
|ポリシー設定|ポリシー値|説明|h
|アカウントのロックアウトのしきい値|3回|ユーザーアカウントがロックアウトされるログオン試行の失敗回数。ロックアウトされたアカウントは、管理者によってリセットされるか、アカウントのロックアウト期間が終了するまで使用できません。|
|ロックアウト カウンターのリセット|15分|ログオン試行の失敗後、ログオン試行の失敗カウンターが0回のログオン試行の失敗にリセットされるまでに経過する必要がある分数。|
|ロックアウト期間|15分|ロックアウトされたアカウントが自動的にロック解除されるまでロックアウトされたままである分数。アカウントロックアウトしきい値が定義されている場合、アカウントロックアウト期間はリセット時間以上でなければなりません。|
|アカウントのロックアウトのしきい値|3回|このセキュリティ設定は、ユーザー アカウントがロックアウトされる原因となるログオン失敗回数を決定します。ロックアウトされたアカウントは、管理者がリセットするか、そのアカウントのロックアウト期間が過ぎるまで使用できません。ログオン失敗回数として 0 から 999 までの値を設定できます。この値を 0 に設定すると、アカウントがロックアウトされることはありません。&br;Ctrl + Alt + Del キーまたはパスワード保護されたスクリーン セーバーを使ってロックされているワークステーションまたはメンバー サーバーの場合、パスワードの失敗はログオンの失敗としてカウントされます。&br;既定値: 0|
|ロックアウト カウンターのリセット|15分|このセキュリティ設定は、ログオン失敗後、ログオン失敗のカウンターが 0 (不良ログオン試行) にリセットされるまでに必要な時間を分単位で指定します。設定できる時間は、1 から 99,999 分です。&br;アカウント ロックアウトのしきい値が定義されている場合は、このリセット時間をロックアウト期間と同じかそれ以下にしてください。&br;既定値: なし。このポリシーの設定は、アカウントのロックアウトのしきい値が指定されている場合のみ有効です。|
|ロックアウト期間|15分|このセキュリティ設定は、ロックアウトされたアカウントが自動的にロック解除されるまでのロックアウト期間を分単位で指定します。設定できる時間は、0 から 99,999 分です。ロックアウト期間を 0 に設定すると、管理者が明示的にロックを解除するまでアカウントはロックアウトされます。&br;アカウント ロックアウトのしきい値が定義されている場合は、アカウント ロックアウト期間をリセット時間と同じかそれ以上にしてください。&br;既定値: なし。このポリシーの設定は、[アカウントのロックアウトのしきい値] が設定されている場合のみ有効です。|