ManageEngine x Forrester | Workforce Identity Platforms Landscape Report

Active Directoryオブジェクトヘッダー・ブログ・スライダー

パスワード設定オブジェクト(PSO)の解説

管理者は、利用者やグループが組織の階層内で異なるレベルに位置し、すべてが同じ特権を持っていないことをよく理解しています。明らかなセキュリティ上の理由から、いくつかのアカウントでは他よりも強力なパスワードポリシーが要求されます。

細かい粒度のパスワードポリシーとPSO

細かい粒度のパスワードポリシー(FGPP)を導入することで、同じドメイン内の異なるユーザーのセットに対して異なるパスワードおよびアカウントロックアウトポリシーを設定できる機能が実現し、AD環境をより安全にします。FGPPは、単一のドメイン内に複数のパスワードポリシーを持つことで、パスワードセキュリティの範囲を広げます。

細かい粒度のパスワードポリシーは、パスワード設定オブジェクト(PSO)を使用して展開されます。PSOには、他のすべてのGPOに存在するすべての同じパスワード設定が含まれています。ユーザーのセットに異なる設定を適用するために、管理者は新しいPSOを作成し、要件に応じて設定を構成する必要があります。PSOがユーザーに適用されると、そのユーザーはグループポリシーによって展開されたパスワードポリシーを使用することはなくなり、指定されたPSO設定を使用するようになります。

Active Directory 管理センター (ADAC)

Active Directory 管理センターは、Windows PowerShell ベースのコマンドラインインターフェースで、管理者はグラフィカルに魅力的な GUI を備えた単一のコンソールからデータ管理や定常的な IT タスクを簡単に実行することができます。ADAC は、Windows Server 2012 ドメインコントローラー以上で Active Directory ドメインサービス (AD DS) の役割をインストールすると自動的にインストールされます。Windows Server 2012 の ADAC には、管理者が PSO を作成・管理できる、強化された細分化パスワードポリシー機能が備わっています。

ADAC の開き方

以下は、ADAC を開くいくつかの方法です:

方法 1:

  • スタートボタンをクリックし、Active Directory 管理センターと入力します。

  • Enter キーを押します。

方法 2:

  • スタートボタンをクリックし、サーバーマネージャーと入力します。

  • Enter キーを押します。

  • ツールスにクリックし、ドロップダウンメニューから Active Directory 管理センターを選択します。

方法 3:

  • スタートボタンをクリックし、dsac.exe と入力します。

  • Enter キーを押します。

PSOの作成

PSOを作成するには:

  • ADACで、[システム] → [パスワード設定コンテナ]に移動します。

  • 右クリックし、[新規] の後に [パスワード設定]を選択します。

  • 表示される[パスワード設定の作成]ウィンドウで、名前、優先度、パスワードの有効期限など、必要な詳細を入力します。

  • [追加]をクリックし、ポリシーが適用されるグループを選択します。

  • [OK]と[閉じる]をクリックします。

すべてのPSOには、ユーザーオブジェクトに複数のPSOが適用された場合に生じる競合を解決するための「優先順位」という属性が備わっています。これは整数値の属性であり、値「1」は最高の優先順位を示します。複数のPSOからの設定をマージすることはできないことに注意してください。

PSOでの結果設定を表示する

ユーザーの結果ポリシー設定を表示するには:

  • ADACで、管理 → 追加ナビゲーションノードに移動します。

  • 必要なドメインとユーザーを選択し、OKをクリックします。

  • タスクペインで、結果のパスワード設定を表示をクリックします。

PSOの編集

PSOを編集するには:

  • ADACで、システム → パスワード設定コンテナに移動します。

  • 編集したいPSOを選択します。右クリックしてプロパティを選択。

  • 必要に応じて値を変更します。

  • OKをクリックします。

PSOの削除

PSOを削除するには:

  • ADACで、システム → パスワード設定コンテナに移動します。

  • 削除したいPSOを選択します。削除をクリックします。

  • OKをクリックします。

きめ細かいパスワードポリシーのベストプラクティス

FGPPを実装する際には、FGPPを作成して適用する前に考慮すべきいくつかのことがあります。

  1. 各PSOには優先度インデックス番号を持たなければなりません。例えば、1のような高い優先度インデックスを持つPSOは、10のような低い優先度インデックスを持つPSOよりも優先されます。

  2. PSOはユーザーやグループに適用することができます。可能であれば、グループにPSOを適用してください。

  3. PSOの優先度を理解します。PSOは複数のユーザーやグループに適用することができますが、ユーザーアカウントに適用されるPSOは常に1つだけです。最も優先度が高いインデックス番号、つまり1に近いPSOが適用されます。AD内のmsDS-ResultantPSO属性は、ユーザーオブジェクトの結果としてのPSOを確認したい場合に利用できます。ユーザーアカウントにリンクされたPSOは、グループにリンクされたPSOよりも常に優先されます。

  4. すべてのPSOには一意の優先度インデックス番号を持たせてください。同じ優先度インデックス番号を持つ2つのPSOがある場合、最も低いGUIDを持つPSOが適用されます。

  5. 組織単位(OU)内のすべてのユーザーにPSOを適用したい場合は、OUの全メンバーを含むグループを作成し、そのグループにPSOを適用する必要があります。OU内のユーザーが変更された場合、グループメンバーシップを更新する必要があります。

  6. ほとんどのユーザーにはデフォルトドメインポリシーGPOのパスワードおよびアカウントロックアウトポリシー設定を使用し、特定の小さなユーザーグループのためにPSOを作成してください。

  7. PSOに意味のある名前を付けてください。

Related posts
Active Directoryオブジェクト

アクティブディレクトリーユーザーオブジェクト:紹介

Active Directoryオブジェクト

アクティブディレクトリ オブジェクト権限:GPO、ADUC、PowerShell を使用した権限管理のステップバイステップガイド

×

There are over 8,500 people who are getting towards perfection in Active Directory, IT Management & Cyber security through our insights from Identitude.

Wanna be a part of our bimonthly curation of IAM knowledge?

  • -Select-
  • By clicking 'Become an insider', you agree to processing of personal data according to the Privacy Policy.