質問

2008年09月02日 14時07分
  • ActiveDirectoryの機能によるパスワードポリシーについて

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

弊社では、Windows2003severのActiveDirectoryにより、全社員のアカウントを一つのドメインで管理しています。

ご存じの方がいたら教えて頂きたいのですが、下記のような運用が可能かどうか、わかる方・あたりのつく方がおりましたら、意見・回答を頂けますよう、お願い致します。

① クライアントの利用しているパスワードの変更指示を出し、パスワードを変更していないユーザーは、ログインが出来ないようにする。
② ①がうまくいった際、ユーザーがパスワードを変更済か、未変更かを確認する方法はないか。

③パスワードの変更指示を、○月○日○時○分というように、ワンタイミングを設定出来ないか。

以上、3点です。
よろしくお願い致します。

3件の回答があります

回答

この場合、ユーザのパスワードは情シス員は知らない という条件ですね。
ユーザのプロパティのアカウントタブに
□ユーザは次回ログオン時にパスワードの変更が必要
にチェックをいれてやれば 次回のパソコン起動時(かサーバ接続時)に「パスワードを変更しなさい」が出てきます。

①はこれで実現可能。
②プロパティで「□ユーザは次回ログオン時にパスワードの変更が必要」のチェックが外れていればうまくいったということになります。
③「□ユーザは次回...」のチェックを入れるのが手操作では人数が多いと大変ですね。 ポリシーかvbsでバッチ的に設定ができる気もしますがやった事はないです。

2008年09月02日 16時12分

回答

・弊社では、300程度のアカウントを管理しております。
・現在、パスワードの変更時(登録時)から、180日で再び変更を促される設定になっております。
・今年の6月に、ADを全社導入致しました。導入の際の管理側で設定した初期パスワードというものがあったのですが、それを「全社員がそれぞれ自分用のパスワードに変更しているかどうか、確認をしろ。」と、コンプライアンス上の問題から調査依頼があり、今回質問をさせて頂きました。

2008年09月02日 16時35分

回答

net userコマンドを使うと以下の情報が拾える。
ユーザー名
フル ネーム
コメント
ユーザーのコメント
国コード
アカウント有効
アカウントの期限
最終パスワード変更日時
パスワード有効期間
パスワード次回変更可能日時

ワンビューでみたいなら
net user "user1" >>c:\list.txt
net user "user2" >>c:\list.txt
以下続
の様なバッチを作ればいつ変更したか一目瞭然。
エクセルでさっと作れるしおすすめですよ。

2008年09月02日 20時14分

あなたもコメントしましょう!