質問

2017年07月18日 22時52分
  • ドメインアカウントの期限管理について【解決済み】

解決済み

クライアントがWin10のマシンでユーザーアカウントの期限切れ対応で困っていることがあります。
期限が切れる数日前からパスワード更新を促すメッセージが出ますがWin10に切り替えてから見逃すユーザーが増えています。
結局管理者がパスワードの初期化をするといったことがあり対応に苦慮しております。
パスワードの期限が切れたらログインそのものを受け付けられなくし、強制的にパスワードを変更しないと使えないようにしたいのですが・・・そのようなことはできないものでしょうか?

4件の回答があります

解決済み

返信が遅くなりました。

自社の環境ですと有効期限経過してもデスクトップへログインは可能です。
ドメイン環境下にあるファイルサーバやExchangeOnlineからメールが届かないなどリソース制限が掛かって初めて気づきます。

これは「キャッシュでログオンが可能」という状況でしょうか?

その前提で対応策を考えてみました。グループポリシーの変更で対応可能なはずです。
(モバイル環境を考慮した場合には、設定値を試行錯誤する必要が有ります)

1.定義した時間が経過するとシステムがロックされるようにする
個人設定のグループ ポリシー設定
スクリーン セーバーを使用した、システムが使用されていない場合のシステムのロック
https://technet.microsoft.com/ja-jp/library/ee617164(v=ws.10).aspx

2.ロック解除の際にドメイン コントローラーの認証を必須とする
対話型ログオン: workstation のロック解除にドメイン コントローラーの認証を必要とする (Windows)
https://technet.microsoft.com/ja-jp/library/mt629050(v=vs.85).aspx

3.キャッシュする過去のログオン数を減らす(10→2など)
対話型ログオン: キャッシュする過去のログオン数 (ドメイン コントローラーが使用できない場合) (Windows)
https://technet.microsoft.com/ja-jp/library/mt629048(v=vs.85).aspx

また、パスワード変更を促す期間自体を延ばす対策もお薦めします。(標準は14日)

対話型ログオン: パスワードが無効になる前にユーザーに変更を促す (Windows)
https://technet.microsoft.com/ja-jp/library/mt629049(v=vs.85).aspx

あとはログオンスクリプトで、ファイルサーバーからのコピーを組み込めば、PWの有効期限が切れたユーザーは、コマンドプロンプト画面が表示されたままになるので、気が付く事も期待出来ます。

※勤務先ではファイルサーバーへの接続が出来ないと仕事にならないので、PW変更忘れの対応は、ユーザーがすぐに実行してくれます。

2017年07月25日 20時35分

回答

何度読んでも良くわからない部分があったので、確認させてください。

パスワードの期限が切れたらログインそのものを受け付けられなくし、強制的にパスワードを変更しないと使えないようにしたいのですが・・・そのようなことはできないものでしょうか?

勤務先で別の人がグループポリシーで設定して、ほぼ上記のような動作になっていたはずです。技術情報としては下記になります。
何度か読んだ印象では、既に実現されているのでは?と思われるのですが、念のために。

TechNet [パスワード ポリシー]
https://technet.microsoft.com/ja-jp/library/hh994572(v=ws.11).aspx

TechNet パスワードの有効期間
https://technet.microsoft.com/ja-jp/library/hh994573(v=ws.11).aspx

期限が切れる数日前からパスワード更新を促すメッセージが出ますがWin10に切り替えてから見逃すユーザーが増えています。

問題はこちらの方でしょうか?

私も勤務先で Windows 10 を使用していますが、例え見逃していたとしてもPWの有効期限(期日)を過ぎると強制的にパスワード変更画面が表示されています。
中殿筋 さんの環境では、Windows 7 / Windows 8.1 と Windows 10 では、動作が異なると言う事でしょうか?

2017年07月20日 22時25分

回答

しとさん

ご回答ありがとうございます。
課題とすれば前者の方になります。
(アラートを見逃してもログイン不可にすれば良いと考えています。)

自社の環境ですと有効期限経過してもデスクトップへログインは可能です。
ドメイン環境下にあるファイルサーバやExchangeOnlineからメールが届かないなどリソース制限が掛かって初めて気づきます。
リンクを頂いたものについては考慮してあるのですが・・・

自分で調べた限りパスワード変更を強制するのはサードパーティー製品しかないようなのですが、もしかしたらいい方法をしとさんの会社では見つけているのでしょうか。

2017年07月23日 13時47分

回答

ご回答いただきましてありがとうございます。
頂いた情報をもとにひとまず対策が出来ました。

これでユーザーがどんな反応をするか様子を見てみたいと思います。

2017年07月30日 00時36分

あなたもコメントしましょう!