PR

【問題】
 Windows Server 2008で構成されたドメインがあり,IT管理者の役割を持つ人が支店ごとに配置されている。IT管理者のパスワードは他のユーザーよりも複雑にしたい。どのようにすれば良いか。ただし,ドメイン構成は可能な限り単純にしたい。

A. セキュリティ・グループ単位でパスワード・ポリシーを構成する
B. 組織単位(OU)単位でパスワード・ポリシーを構成する
C. ドメイン単位でパスワード・ポリシーを構成する
D. ドメイン・コントローラ単位でパスワード・ポリシーを構成する

正解:A

【解説】

 Windows Server 2003まで,Active Directoryドメインのパスワード・ポリシーは,ドメイン単位でしか設定できなかった。しかし,一般ユーザーのアカウントとシステム管理者のアカウントでは,パスワードの持つ重みは全く異なる。一般ユーザーのパスワード・ポリシーを緩くし,逆に管理者のパスワードを強化できれば便利である。

 Windows Server 2008では,グローバル・グループまたはユーザー単位でパスワードやロックアウトのポリシーを設定できるようになった(図4-1)。ただし,通常のパスワード・ポリシーでは構成できず,「ADSIEDIT」というツールを使用して特別な設定を行う必要がある。

図4-1●グループやユーザー単位でパスワード・ポリシーが設定可能
図4-1●グループやユーザー単位でパスワード・ポリシーが設定可能

 ADSIEDITは,本来トラブル・シューティング用であり,一般管理作業に使うことを想定していない。必要に応じてスクリプトなどを作成しておくとよい。

 もちろん,従来通りドメイン単位でパスワード・ポリシーを設定することは可能である。しかし,パスワード・ポリシーごとにドメインを設置するのは無駄であり「可能な限り単純にする」という要件を満たさない。よって選択肢Cは誤りである。

 組織単位(OU)やドメイン・コントローラ単位でパスワード・ポリシーを変更することは不可能だ。よって選択肢BとDは誤りである。

 パスワード・ポリシーの設定手順は以下の通りである。

1)パスワード・ポリシー・オブジェクトの作成
 「ADSIEDIT.MSC」を起動し,「/System/Password Settings Container」を開き,右クリックして[新規作成]-[オブジェクト]を実行すると,ウィザードが起動する。ここで作成するオブジェクトは「msDS-PasswordSettings」と呼ばれる。

2)パスワード・ポリシー・オブジェクトの名前を指定
 ウィザードの最初の画面は名前の指定である。名前は,パスワード・ポリシーを表現するものにすると,わかりやすい。複数のポリシーを作成したい場合は,各ポリシーに対応したパスワード・ポリシー・オブジェクトを作成する。

3)パスワード・ポリシーの優先順位を指定
 「msDS-PasswordSettingsPrecedence」に,1以上の整数値を指定する。数字が小さい方が優先的に使われる。

4)設定したいパスワード・ポリシー値を指定
 設定可能なパスワード・ポリシーは,従来のActive Directoryのものと変わらない。ただし,期間を指定する場合は分単位の数の1千万倍(ゼロが7つ付く)の負数を指定する。例えば,42日であれば,42×24×60×60=3628800,これにゼロを7つ付加して,マイナスにする。

5)ロックアウト・ポリシーを指定
 引き続き,パスワード・ロックアウト・ポリシーを設定する。こちらも設定項目は従来と変わらない。

6)適用先グループまたはユーザーを指定
 「msDS-PSOAppliesTo」に,DN(識別名,Distinguished Name)形式のユーザーまたはグループ・アカウントを指定する。

 以上で設定は完了である。OUではなく,セキュリティ・グループやユーザーに対して設定することに注意してほしい。あるアカウントのパスワードの重要性は,そのユーザーがどのような権限を持つかによって決まる。そして,ほとんどの権利はセキュリティ・グループを使って割り当てられる。

 一方,OUは管理ポリシーによる分類であり,管理者権限とは無関係に設定されることが多い。例えば,営業所はOUの典型的な利用方法で,営業所内に一般ユーザーと管理者が混在することはよくある。パスワード・ポリシーをOUではなく,セキュリティ・グループに対して設定するのはそのためである。