質問
Workgroupですか...ちょっと外したコメントで申し訳ありません。
ActiveDirectoryを導入すれば ポリシーで「パスワードの有効期間」を設定して 定期的なパスワード変更が行われるようにはできますよ。
ファイルサーバのアカウントも ドメインアカウントにしておけば、気にしなくてもOKですし。
パスワードのシステム部管理は...どぉなんでしょうか!? 管理者アカウントのパスワード管理はしますが、ユーザーアカウントの管理まではしないのが 普通?
Workgroupでしたね。
NET USERコマンドで パスワード変更のバッチを組むが解決策になりそぉですね。
バッチをファイルサーバとかに置いといて、個々のクライアントPCのスタートアップから実行って感じで。
以前は情シスで集中管理していました。サーバクライアントのパスワード変更とともにクライアントパソコンもユーザで変更して貰っていました。
ところがある時に「ユーザのパスワードを情シスが知っているのはダメ」と言い出した人がいて、そこでサーバも設定を「初回にユーザはパスワードを変更する」にしてその後にログオンした人はかならずパスワードをパソコン側で変更するようにしました。ところがそれが上手く出来ないパソコンが十数台も出てきまして、それが社長の耳に入ったため「パスワードは集中管理しなさい」となりました。
今では変更パスワードを\請してもらいそのデータを元にサーバはVBSである日に一斉に変更し、クライアントパソコンはユーザで変更するようになりました。
ユーザパスワードを集中管理にするかユーザ任せにするかは議論のあるところですが、私は現状の会社の状況では集中管理がよいと思っています。
管理PCが90%以上Windowsであれば、Active Directoryの導入をお勧めします。
パスワードの設計と管理の基本ルールは下記だと思います。
1.パスワードはユーザー名とパスワード(+お好みで種)を一方向ハッシュで暗号化して保存する。
2.管理者はパスワードをキャンセルできるが、パスワードを見ることはできない。
3.管理者がパスワードをキャンセルした記録が残る。
上記のルールはシステムそのものやユーザーよりも、管理者を守るためのものです。
管理者がユーザーを騙ることができてしまうと、ユーザーが不正をしても、「管理者は俺のパスワードを知っているから、管理者がやったんだ」と言い逃れできます。これではもっとも基本的なセキュリティが保証できません。
また、ユーザーがパスワードを設定するシステムで、管理者がパスワードを見ることができると、さらに問題が大きくなります。
ユーザーは銀行口座や、その他の個人的なパスワードと同じものを使ってしまうかもしれません。管理者がパスワードを見れるならば、管理者の関わっていないシステムに対する不正も、「そういえば、このパスワードはウチの管理者が知っている!」と、あらぬ疑いをかけられることになります。
どうしても管理者がユーザーの設定したパスワードを見られるシステムを使わざるを得ないときは、事前にユーザーに徹底すべきです。
うちはITリテラシーが特に高い組織ではありませんが、実際に100人以上で上記管理を行っていて、日常的に特にコストはかかっていません。
もちろん導入当初のユーザー教育やマニュアルの整備、新入職員に対する確実な指導は必須です。
また、経営層までしっかりプレゼンして、パスワードの漏洩が解雇まで含めた譴責対象であることを規程に明記するなど、組織的な対処が重要になります。
クライアントにLinuxやmacが多いなどの場合は、また別の解決方法が必要だと思いますが。
質問
弊社では今度、定期的に各パスワードの変更を行う方針になりました
以下のパスワードを変更しようと思います
半年に一度実施するので、できるだけ負担の無いようにしようと思うのですが、何か良い方法はございますか?
① ファイルサーバの各アカウントのパスワード
・OS:Windwos Server 2003
・今まではクライアントのPCと同じパスワード(出来れば同じにしたい)
② クライアントPCのアカウントのパスワード
・台数:約120台
・「workgroup」にて使用
・出来ればパスワードをシステム部で管理を行いたいと考えています