複数のパスワードポリシーで運用したい

メモ:  Category:windows

ニューラルネットワークでパスワード予測を行う AI 「PassGAN」が「一般的なパスワード」のうち 51% を 1 分以内、 65% を 1 時間以内、 71% を 1 日以内、 81% を 1 カ月以内に推測できた。など技術の進歩というか、安全なパスワードへのハードルがどんどん上がっていきます。

しかし、一方では一律に複雑なパスワードを要求できない環境もあったりします。

ここでは、 Active Directory Doman Service 環境でユーザーやグループに対して異なるパスワードポリシーを適用してみます。

PSO の設定

Active Directory Doman Service のグループポリシーでは、パスワードのポリシーをドメイン共通(ドメイン単位)でしか設定することができません。

Windows Server 2008 以降のサーバーでは、PSO (Password Setting Object)でユーザーまたはグループに異なるパスワードポリシーを適用することが可能になりました。例えば、設計部門のグループに適用するパスワードポリシー、製造部門のグループに適用するパスワードポリシーを異なる定義とするという運用が可能になります。

それでは実際に PSO (Password Setting Object) というパスワード設定オブジェクトを作成し、グループへパスワードポリシーを設定します。

まず、パスワードポリシーを設定したいグループを用意します。このグループに所属するユーザーが適用対象になります。 ※ PSO を適用できるグループのスコープは「グローバル」になります。

グループの作成

PSO の作成は、「 Active Directory 管理センター」で行います。 サーバーマネージャーを起動し、「 Active Directory 管理センター」を実行します。

Active Directory 管理センターの起動

左ペインのサーバー部分をクリックし、[system] - [Password Setting Object] を探します。

Password Setting Object コンテナ

中央の何もないところを右クリックし、メニューから「パスワードの設定」を選択します。

ポップアップメニュー(パスワードの設定)

「パスワード設定の作成」ダイアログが表示されます。

パスワード設定の作成ダイアログ

ここで要件に応じたパスワードポリシーを設定します。

パスワードの要件設定が完了したら、「追加」ボタンをクリックし適用先のグループを指定します。

グループへポリシーを適用

設定が完了すると Password Setting Object コンテナに作成したポリシーが表示されます。

Password Setting Object コンテナに追加された設定

PSO の適用を確認

ユーザーに適用されているパスワードポリシーを確認したい場合、「 Active Directory 管理センター」から行うことができます。

グローバル検索ウィンドウにユーザーを入力し検索します。

グローバル検索ウィンドウ

検索結果からユーザーを選択し右ペインの「プロパティ」を選択します。

ユーザーのプロパティ

左ペインに表示されているメニューから「拡張」をクリックします。いくつかのタブが表示されるので、「拡張エディター」を選択します。

「属性エディター」の下部に表示されている「フィルター」ボタンをクリックします。

拡張エディター

表示されたメニューの「構築済み」をクリックして、チェックを入れます。

フィルター設定、構築済み

「 msDS-ResultansPSO 」属性の値に設定された PSO 名が表示されます。

msDS-ResultansPSO 属性

グループに紐づく PSO を確認するにはグループのプロパティを確認します。

グループのプロパティ

左ぺインの「パスワードの設定」から紐づいた PSO を確認できます。

グループに紐づくパスワードの設定

bluenote by BBB