Q&A6/29追記
- メーカーサポート調査結果:パスワード有効期限ポリシーそのものは正しく配信されている。
→クライアントPC(Windows10)側に何か問題がある可能性があるのではないか?(サポート見解)
0. 但し、パスワード有効期限と無関係のポリシーがループバックしているものがあるが、障害との関連は不明。
→障害が発生しているOUと、その上位階層のOUに同じポリシーがリンクされていることが確認できました。
それ以外は6/25追記情報から進展ありません。
6/25追記
- 「グループポリシーの管理」より、グループポリシー上も有効期間が90日に設定されていることを確認。
- 特定のOUに所属する利用者のみ旧有効期間で警告が表示されることを確認。
- 上記OUに適用されている全てのGPOを確認したが、Default Domain Policyのみ有効期間90日が設定されていることを確認。
- 但し上記OUには、有効期間30日を設定した別のGPOが以前設定されていた。
有効期間変更より前に、同GPOを対象外としている。
0. 警告が表示されるクライアントPCのローカルグループポリシーでも有効期間は90日と表示される。
メーカーサポートに調査を依頼しました。
経緯
Windowsパスワード有効期限を30日として運用しておりましたが、運用方針を変更し6/15よりパスワード有効期限を90日に変更しました。
※パスワード有効期間の変更は、ローカルグループポリシーエディタのパスワードポリシーから実施しました。
発生した問題
昨日(6/23)、一部の利用者から、「有効期限が7日です」という警告が表示されるという申告がありました。
本日(6/24)も「有効期限が6日です」と警告表示されました。
しかし、警告が表示された利用者について、net userコマンドでパスワード有効期間を表示すると、
: 最終パスワード変更日時 2020/06/01 8:44:08 パスワード有効期間 2020/08/30 8:44:08 ←90日後に変更されている パスワード次回変更可能日時 2020/06/02 8:44:08 :
有効期限が8/30(90日後)と表示されており、ポリシー変更そのものは成功していると思われます。
質問事項
有効期間変更前であれば、前出の利用者は確かに本日時点で残り6日となりますが、
net userコマンドの出力結果と矛盾しております。
有効期限変更の手順が何か不足しているのでしょうか?
場合によっては全利用者にアナウンスが必要な為、有識者様より助言頂きたくよろしくお願い致します。
回答2件
0
タグには「Active Directory」とあり、Active Directoryで制御を行いたい場合は、「グループ ポリシーの管理」ツールから行うのが妥当です。
しかしながら、ポリシーは「ローカルグループポリシー」を変更したとあり、この場合は該当設定を行ったノードのみに適用されることになります。
投稿2020/06/25 00:09
総合スコア4315
0
自己解決
本件自己解決できました。
原因
- GPO自体は正しく配信されていた。
- PSOに有効期間30を設定しており、特定のOUのみに配信していた。
- GPOよりPSOの設定が優先され、特定OU配下のユーザのみ有効期限が30日のままとなった。
PSO(Password Setting Object)の設定は7年前に実験的に設定したものが有効なまま残っていたが、これまでGPOの設定と同じであったこともあり、担当者自身も覚えておりませんでした。
参考URL
投稿2020/06/30 02:50
総合スコア1095
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2020/06/25 00:27