複数のパスワードポリシーで運用したい

ニューラルネットワークでパスワード予測を行う AI 「PassGAN」が「一般的なパスワード」のうち 51% を 1 分以内、 65% を 1 時間以内、 71% を 1 日以内、 81% を 1 カ月以内に推測できた。など技術の進歩というか、安全なパスワードへのハードルがどんどん上がっていきます。

しかし、一方では一律に複雑なパスワードを要求できない環境もあったりします。

ここでは、 Active Directory Doman Service 環境でユーザーやグループに対して異なるパスワードポリシーを適用してみます。

PSO の設定

Active Directory Doman Service のグループポリシーでは、パスワードのポリシーをドメイン共通（ドメイン単位）でしか設定することができません。

Windows Server 2008 以降のサーバーでは、PSO (Password Setting Object)でユーザーまたはグループに異なるパスワードポリシーを適用することが可能になりました。例えば、設計部門のグループに適用するパスワードポリシー、製造部門のグループに適用するパスワードポリシーを異なる定義とするという運用が可能になります。

それでは実際に PSO (Password Setting Object) というパスワード設定オブジェクトを作成し、グループへパスワードポリシーを設定します。

まず、パスワードポリシーを設定したいグループを用意します。このグループに所属するユーザーが適用対象になります。 ※ PSO を適用できるグループのスコープは「グローバル」になります。

PSO の作成は、「 Active Directory 管理センター」で行います。 サーバーマネージャーを起動し、「 Active Directory 管理センター」を実行します。

左ペインのサーバー部分をクリックし、[system] - [Password Setting Object] を探します。

中央の何もないところを右クリックし、メニューから「パスワードの設定」を選択します。

「パスワード設定の作成」ダイアログが表示されます。

ここで要件に応じたパスワードポリシーを設定します。

パスワードの要件設定が完了したら、「追加」ボタンをクリックし適用先のグループを指定します。

設定が完了すると Password Setting Object コンテナに作成したポリシーが表示されます。

PSO の適用を確認

ユーザーに適用されているパスワードポリシーを確認したい場合、「 Active Directory 管理センター」から行うことができます。

グローバル検索ウィンドウにユーザーを入力し検索します。

検索結果からユーザーを選択し右ペインの「プロパティ」を選択します。

左ペインに表示されているメニューから「拡張」をクリックします。いくつかのタブが表示されるので、「拡張エディター」を選択します。

「属性エディター」の下部に表示されている「フィルター」ボタンをクリックします。

表示されたメニューの「構築済み」をクリックして、チェックを入れます。

「 msDS-ResultansPSO 」属性の値に設定された PSO 名が表示されます。

グループに紐づく PSO を確認するにはグループのプロパティを確認します。

左ぺインの「パスワードの設定」から紐づいた PSO を確認できます。