ようこそ!
答えてねっと for Businessは、
マイクロソフトが運営する
ビジネスで使うパソコンや
ITに関するQ&Aサイトです。

質問

【GPO】ポリシー反映について

タタタ太郎

製品名:デスクトップ OS、サーバー OS/Windows 2000 Server

現象:おかしい

この質問は解決で締め切られています

Windows2000ServerでADを構築しています。

少し前に、弊社ユーザーを格納しているOUへ以下のようなポリシーを適用しました。

「コンピュータの構成」
パスワードポリシー:6文字以上などパスワードポリシー全体
パスワードが無効になる前にユーザーに変更を促す:有効
「ユーザの構成」
画面(スクリーンセーバー回り)

ところが本日、パスワードの変更で、6文字以下でパスワードを入力したら変更されてしまうという現象が確認できました(ポリシーの反映がされていない?)
ただ、スクリーンセーバのポリシーは適用されています。

デフォルトドメインポリシーには変更がありません。

同じような現象に覚えがある方がいらっしゃいましたら、ぜひ対処策のご教授をお願い致します。

質問者からのコメント

  • 投稿日時:2008/11/04 10:41

タタタ太郎

みゃう2様、チャブーン@様、ご回答ありがとうございます。
お礼が遅くなって申し訳ありません。

OUへ詳細なポリシーを適用した事が無く、お二人から頂きましご教授、とても勉強になりました。

2008を導入するのは、弊社ではまだまだ先の事になりそうですが、今のうちから勉強しておきたいと思います。

どうもありがとうございました。

回答1 (この回答は質問に対する回答です)

  • 投稿ID:A2008055427
  • 投稿日時:2008/10/31 16:04
  • 最も役に立った投稿として評価されました

みゃう2

Windows 2000 Serverのドメインでは
パスワードのポリシーはOU単位では設定できません。
ドメイン単位でしか設定できない仕様です。

ちなみにWindows Server 2008
より組織単位ごとに設定できるようになっています。
http://www.microsoft.com/japan/technet/windowsserver/2008/library/056a73ef-5c9e-44d7-acc1-4f0bade6cd75.mspx?mfr=true

  •  

回答2 (この回答は回答1に対する回答です)

  • 投稿ID:A2008055446
  • 投稿日時:2008/11/01 15:43

チャブーン@

チャブーンです。

細かい話しでゴメンナサイ。

> ちなみにWindows Server 2008より組織単位ごとに設定できるようになっています。

う〜ん。みゃう2さん個人に対してではないのですが、いただいたURLを見たところ、MSのこの説明はかなり厳しい(自己流の解釈)なんで、説明するときには要注意なんじゃないでしょうか?

いただいたURLでいってる「シャドウグループ」なるものは、まあ特定OUにいるユーザ全員をメンバとするグループを自分で作って、これにポリシーを割り当ててください、ということですよね。これは特にOUにリンクしてるわけでもなんでもないので、「OU 間でユーザーを移動する場合は、対応するシャドウグループのメンバシップも更新する必要があります。」ということかと思います。

何気ないコメントですが、OUにユーザをグルーピングするだけでパスワードポリシーを変えられる、と誤解するシステム管理者が現れないか、正直心配です。こういう常識が行き渡った場合、あとから訂正するのは、とてもたいへんですので。アイデアは素晴しいだけに、MSの方には説明の仕方をぜひ考えていただきたいところです。
#ここでこんな話しをしても、仕方がないですね

ということで、Windows Server 2008の「細かい設定が可能なパスワードポリシー」はユーザまたはセキュリティグループに対してしか割り当てられません、ということになると思います。

  •  

利用規約

(c)2009Microsoft Corporation.All rights reserved. | プライバシー |