[質問] ドメインアカウントの期限管理について

Myフィード
ドメインアカウントの期限管理について

解決済み

クライアントがWin10のマシンでユーザーアカウントの期限切れ対応で困っていることがあります。
期限が切れる数日前からパスワード更新を促すメッセージが出ますがWin10に切り替えてから見逃すユーザーが増えています。
結局管理者がパスワードの初期化をするといったことがあり対応に苦慮しております。
パスワードの期限が切れたらログインそのものを受け付けられなくし、強制的にパスワードを変更しないと使えないようにしたいのですが・・・そのようなことはできないものでしょうか？

2017年07月18日 22時52分

中殿筋

参考になった 0

お気に入り 0

4件の回答があります

解決済み

返信が遅くなりました。

自社の環境ですと有効期限経過してもデスクトップへログインは可能です。
ドメイン環境下にあるファイルサーバやExchangeOnlineからメールが届かないなどリソース制限が掛かって初めて気づきます。

これは「キャッシュでログオンが可能」という状況でしょうか？

その前提で対応策を考えてみました。グループポリシーの変更で対応可能なはずです。
（モバイル環境を考慮した場合には、設定値を試行錯誤する必要が有ります）

1.定義した時間が経過するとシステムがロックされるようにする
個人設定のグループポリシー設定
スクリーンセーバーを使用した、システムが使用されていない場合のシステムのロック
https://technet.microsoft.com/ja-jp/library/ee617164(v=ws.10).aspx

2．ロック解除の際にドメインコントローラーの認証を必須とする
対話型ログオン: workstation のロック解除にドメインコントローラーの認証を必要とする (Windows)
https://technet.microsoft.com/ja-jp/library/mt629050(v=vs.85).aspx

3.キャッシュする過去のログオン数を減らす（10→2など）
対話型ログオン: キャッシュする過去のログオン数 (ドメインコントローラーが使用できない場合) (Windows)
https://technet.microsoft.com/ja-jp/library/mt629048(v=vs.85).aspx

また、パスワード変更を促す期間自体を延ばす対策もお薦めします。（標準は１４日）

対話型ログオン: パスワードが無効になる前にユーザーに変更を促す (Windows)
https://technet.microsoft.com/ja-jp/library/mt629049(v=vs.85).aspx

あとはログオンスクリプトで、ファイルサーバーからのコピーを組み込めば、PWの有効期限が切れたユーザーは、コマンドプロンプト画面が表示されたままになるので、気が付く事も期待出来ます。

※勤務先ではファイルサーバーへの接続が出来ないと仕事にならないので、PW変更忘れの対応は、ユーザーがすぐに実行してくれます。

2017年07月25日 20時35分

しと

参考になった 0

返信する