パスワード設定オブジェクト（PSO）の解説

管理者は、利用者やグループが組織の階層内で異なるレベルに位置し、すべてが同じ特権を持っていないことをよく理解しています。明らかなセキュリティ上の理由から、いくつかのアカウントでは他よりも強力なパスワードポリシーが要求されます。

細かい粒度のパスワードポリシーとPSO

細かい粒度のパスワードポリシー(FGPP)を導入することで、同じドメイン内の異なるユーザーのセットに対して異なるパスワードおよびアカウントロックアウトポリシーを設定できる機能が実現し、AD環境をより安全にします。FGPPは、単一のドメイン内に複数のパスワードポリシーを持つことで、パスワードセキュリティの範囲を広げます。

細かい粒度のパスワードポリシーは、パスワード設定オブジェクト(PSO)を使用して展開されます。PSOには、他のすべてのGPOに存在するすべての同じパスワード設定が含まれています。ユーザーのセットに異なる設定を適用するために、管理者は新しいPSOを作成し、要件に応じて設定を構成する必要があります。PSOがユーザーに適用されると、そのユーザーはグループポリシーによって展開されたパスワードポリシーを使用することはなくなり、指定されたPSO設定を使用するようになります。

Active Directory 管理センター (ADAC)

Active Directory 管理センターは、Windows PowerShell ベースのコマンドラインインターフェースで、管理者はグラフィカルに魅力的な GUI を備えた単一のコンソールからデータ管理や定常的な IT タスクを簡単に実行することができます。ADAC は、Windows Server 2012 ドメインコントローラー以上で Active Directory ドメインサービス (AD DS) の役割をインストールすると自動的にインストールされます。Windows Server 2012 の ADAC には、管理者が PSO を作成・管理できる、強化された細分化パスワードポリシー機能が備わっています。

ADAC の開き方

以下は、ADAC を開くいくつかの方法です：

方法 1：

• スタートボタンをクリックし、Active Directory 管理センターと入力します。

• Enter キーを押します。

方法 2：

• スタートボタンをクリックし、サーバーマネージャーと入力します。

• Enter キーを押します。

• ツールスにクリックし、ドロップダウンメニューから Active Directory 管理センターを選択します。

方法 3：

• スタートボタンをクリックし、dsac.exe と入力します。

• Enter キーを押します。

PSOの作成

PSOを作成するには：

• ADACで、[システム] → [パスワード設定コンテナ]に移動します。

• 右クリックし、[新規] の後に [パスワード設定]を選択します。

• 表示される[パスワード設定の作成]ウィンドウで、名前、優先度、パスワードの有効期限など、必要な詳細を入力します。

• [追加]をクリックし、ポリシーが適用されるグループを選択します。

• [OK]と[閉じる]をクリックします。

すべてのPSOには、ユーザーオブジェクトに複数のPSOが適用された場合に生じる競合を解決するための「優先順位」という属性が備わっています。これは整数値の属性であり、値「1」は最高の優先順位を示します。複数のPSOからの設定をマージすることはできないことに注意してください。

PSOでの結果設定を表示する

ユーザーの結果ポリシー設定を表示するには：

• ADACで、管理 → 追加ナビゲーションノードに移動します。

• 必要なドメインとユーザーを選択し、OKをクリックします。

• タスクペインで、結果のパスワード設定を表示をクリックします。

PSOの編集

PSOを編集するには：

• ADACで、システム → パスワード設定コンテナに移動します。

• 編集したいPSOを選択します。右クリックしてプロパティを選択。

• 必要に応じて値を変更します。

• OKをクリックします。

PSOの削除

PSOを削除するには：

• ADACで、システム → パスワード設定コンテナに移動します。

• 削除したいPSOを選択します。削除をクリックします。

• OKをクリックします。

きめ細かいパスワードポリシーのベストプラクティス

FGPPを実装する際には、FGPPを作成して適用する前に考慮すべきいくつかのことがあります。

1. 各PSOには優先度インデックス番号を持たなければなりません。例えば、1のような高い優先度インデックスを持つPSOは、10のような低い優先度インデックスを持つPSOよりも優先されます。

2. PSOはユーザーやグループに適用することができます。可能であれば、グループにPSOを適用してください。

3. PSOの優先度を理解します。PSOは複数のユーザーやグループに適用することができますが、ユーザーアカウントに適用されるPSOは常に1つだけです。最も優先度が高いインデックス番号、つまり1に近いPSOが適用されます。AD内のmsDS-ResultantPSO属性は、ユーザーオブジェクトの結果としてのPSOを確認したい場合に利用できます。ユーザーアカウントにリンクされたPSOは、グループにリンクされたPSOよりも常に優先されます。

4. すべてのPSOには一意の優先度インデックス番号を持たせてください。同じ優先度インデックス番号を持つ2つのPSOがある場合、最も低いGUIDを持つPSOが適用されます。

5. 組織単位（OU）内のすべてのユーザーにPSOを適用したい場合は、OUの全メンバーを含むグループを作成し、そのグループにPSOを適用する必要があります。OU内のユーザーが変更された場合、グループメンバーシップを更新する必要があります。

6. ほとんどのユーザーにはデフォルトドメインポリシーGPOのパスワードおよびアカウントロックアウトポリシー設定を使用し、特定の小さなユーザーグループのためにPSOを作成してください。

7. PSOに意味のある名前を付けてください。