質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
Windows 10

Windows 10は、マイクロソフト社がリリースしたOSです。Modern UIを標準画面にした8.1から、10では再びデスクトップ主体に戻され、UIも変更されています。PCやスマホ、タブレットなど様々なデバイスに幅広く対応していることが特徴です。

Active Directory

Active Directoryは、 Windows Serverの機能の一つで、 マイクロソフトによって作られたディレクトリサービスです。 ネットワーク上に存在する様々なハードや利用者情報のアクセス権限などを一元管理が出来ます。

Q&A

解決済

2回答

3596閲覧

ログインパスワード有効期限を変更しても以前の有効期限で警告表示されます

DreamTheater

総合スコア1095

Windows 10

Windows 10は、マイクロソフト社がリリースしたOSです。Modern UIを標準画面にした8.1から、10では再びデスクトップ主体に戻され、UIも変更されています。PCやスマホ、タブレットなど様々なデバイスに幅広く対応していることが特徴です。

Active Directory

Active Directoryは、 Windows Serverの機能の一つで、 マイクロソフトによって作られたディレクトリサービスです。 ネットワーク上に存在する様々なハードや利用者情報のアクセス権限などを一元管理が出来ます。

0グッド

0クリップ

投稿2020/06/24 06:34

編集2020/06/29 04:10

6/29追記

  1. メーカーサポート調査結果:パスワード有効期限ポリシーそのものは正しく配信されている。

→クライアントPC(Windows10)側に何か問題がある可能性があるのではないか?(サポート見解)
0. 但し、パスワード有効期限と無関係のポリシーがループバックしているものがあるが、障害との関連は不明。
→障害が発生しているOUと、その上位階層のOUに同じポリシーがリンクされていることが確認できました。
それ以外は6/25追記情報から進展ありません。

6/25追記

  1. 「グループポリシーの管理」より、グループポリシー上も有効期間が90日に設定されていることを確認。
  2. 特定のOUに所属する利用者のみ旧有効期間で警告が表示されることを確認。
  3. 上記OUに適用されている全てのGPOを確認したが、Default Domain Policyのみ有効期間90日が設定されていることを確認。
  4. 但し上記OUには、有効期間30日を設定した別のGPOが以前設定されていた。

有効期間変更より前に、同GPOを対象外としている。
0. 警告が表示されるクライアントPCのローカルグループポリシーでも有効期間は90日と表示される。

メーカーサポートに調査を依頼しました。

経緯

Windowsパスワード有効期限を30日として運用しておりましたが、運用方針を変更し6/15よりパスワード有効期限を90日に変更しました。
※パスワード有効期間の変更は、ローカルグループポリシーエディタのパスワードポリシーから実施しました。

発生した問題

昨日(6/23)、一部の利用者から、「有効期限が7日です」という警告が表示されるという申告がありました。
本日(6/24)も「有効期限が6日です」と警告表示されました。

しかし、警告が表示された利用者について、net userコマンドでパスワード有効期間を表示すると、

 : 最終パスワード変更日時 ‎2020/‎06/‎01 8:44:08 パスワード有効期間 ‎2020/‎08/‎30 8:44:08    ←90日後に変更されている パスワード次回変更可能日時 ‎2020/‎06/‎02 8:44:08  :

有効期限が8/30(90日後)と表示されており、ポリシー変更そのものは成功していると思われます。

質問事項

有効期間変更前であれば、前出の利用者は確かに本日時点で残り6日となりますが、
net userコマンドの出力結果と矛盾しております。

有効期限変更の手順が何か不足しているのでしょうか?

場合によっては全利用者にアナウンスが必要な為、有識者様より助言頂きたくよろしくお願い致します。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

タグには「Active Directory」とあり、Active Directoryで制御を行いたい場合は、「グループ ポリシーの管理」ツールから行うのが妥当です。
しかしながら、ポリシーは「ローカルグループポリシー」を変更したとあり、この場合は該当設定を行ったノードのみに適用されることになります。

投稿2020/06/25 00:09

over

総合スコア4315

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

DreamTheater

2020/06/25 00:27

over様 コメントありがとうございます。 早速確認致します。
guest

0

自己解決

本件自己解決できました。

原因

  • GPO自体は正しく配信されていた。
  • PSOに有効期間30を設定しており、特定のOUのみに配信していた。
  • GPOよりPSOの設定が優先され、特定OU配下のユーザのみ有効期限が30日のままとなった。

PSO(Password Setting Object)の設定は7年前に実験的に設定したものが有効なまま残っていたが、これまでGPOの設定と同じであったこともあり、担当者自身も覚えておりませんでした。

参考URL

パスワード有効期間ポリシーがドメインユーザー側に正しく反映されていない(見た目上は反映されているが...)

投稿2020/06/30 02:50

DreamTheater

総合スコア1095

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問