10 ready-to-implement PowerShell scripts to make AD management easy!

Get your copy now
Active Directoryオブジェクトヘッダー・ブログ・スライダー

パスワード設定オブジェクト(PSO)の解説

2月 4, 2021

管理者は、利用者やグループが組織の階層内で異なるレベルに位置し、すべてが同じ特権を持っていないことをよく理解しています。明らかなセキュリティ上の理由から、いくつかのアカウントでは他よりも強力なパスワードポリシーが要求されます。

細かい粒度のパスワードポリシーとPSO

細かい粒度のパスワードポリシー(FGPP)を導入することで、同じドメイン内の異なるユーザーのセットに対して異なるパスワードおよびアカウントロックアウトポリシーを設定できる機能が実現し、AD環境をより安全にします。FGPPは、単一のドメイン内に複数のパスワードポリシーを持つことで、パスワードセキュリティの範囲を広げます。

細かい粒度のパスワードポリシーは、パスワード設定オブジェクト(PSO)を使用して展開されます。PSOには、他のすべてのGPOに存在するすべての同じパスワード設定が含まれています。ユーザーのセットに異なる設定を適用するために、管理者は新しいPSOを作成し、要件に応じて設定を構成する必要があります。PSOがユーザーに適用されると、そのユーザーはグループポリシーによって展開されたパスワードポリシーを使用することはなくなり、指定されたPSO設定を使用するようになります。

Active Directory 管理センター (ADAC)

Active Directory 管理センターは、Windows PowerShell ベースのコマンドラインインターフェースで、管理者はグラフィカルに魅力的な GUI を備えた単一のコンソールからデータ管理や定常的な IT タスクを簡単に実行することができます。ADAC は、Windows Server 2012 ドメインコントローラー以上で Active Directory ドメインサービス (AD DS) の役割をインストールすると自動的にインストールされます。Windows Server 2012 の ADAC には、管理者が PSO を作成・管理できる、強化された細分化パスワードポリシー機能が備わっています。

ADAC の開き方

以下は、ADAC を開くいくつかの方法です:

方法 1:

  • スタートボタンをクリックし、Active Directory 管理センターと入力します。
  • Enter キーを押します。

方法 2:

  • スタートボタンをクリックし、サーバーマネージャーと入力します。
  • Enter キーを押します。
  • ツールスにクリックし、ドロップダウンメニューから Active Directory 管理センターを選択します。

方法 3:

  • スタートボタンをクリックし、dsac.exe と入力します。
  • Enter キーを押します。

PSOの作成

PSOを作成するには:

  • ADACで、[システム] → [パスワード設定コンテナ]に移動します。
  • 右クリックし、[新規] の後に [パスワード設定]を選択します。
  • 表示される[パスワード設定の作成]ウィンドウで、名前、優先度、パスワードの有効期限など、必要な詳細を入力します。
  • [追加]をクリックし、ポリシーが適用されるグループを選択します。
  • [OK]と[閉じる]をクリックします。

すべてのPSOには、ユーザーオブジェクトに複数のPSOが適用された場合に生じる競合を解決するための「優先順位」という属性が備わっています。これは整数値の属性であり、値「1」は最高の優先順位を示します。複数のPSOからの設定をマージすることはできないことに注意してください。

PSOでの結果設定を表示する

ユーザーの結果ポリシー設定を表示するには:

  • ADACで、管理 → 追加ナビゲーションノードに移動します。
  • 必要なドメインとユーザーを選択し、OKをクリックします。
  • タスクペインで、結果のパスワード設定を表示をクリックします。

PSOの編集

PSOを編集するには:

  • ADACで、システム → パスワード設定コンテナに移動します。
  • 編集したいPSOを選択します。右クリックしてプロパティを選択。
  • 必要に応じて値を変更します。
  • OKをクリックします。

PSOの削除

PSOを削除するには:

  • ADACで、システム → パスワード設定コンテナに移動します。
  • 削除したいPSOを選択します。削除をクリックします。
  • OKをクリックします。

きめ細かいパスワードポリシーのベストプラクティス

FGPPを実装する際には、FGPPを作成して適用する前に考慮すべきいくつかのことがあります。

  1. 各PSOには優先度インデックス番号を持たなければなりません。例えば、1のような高い優先度インデックスを持つPSOは、10のような低い優先度インデックスを持つPSOよりも優先されます。
  2. PSOはユーザーやグループに適用することができます。可能であれば、グループにPSOを適用してください。
  3. PSOの優先度を理解します。PSOは複数のユーザーやグループに適用することができますが、ユーザーアカウントに適用されるPSOは常に1つだけです。最も優先度が高いインデックス番号、つまり1に近いPSOが適用されます。AD内のmsDS-ResultantPSO属性は、ユーザーオブジェクトの結果としてのPSOを確認したい場合に利用できます。ユーザーアカウントにリンクされたPSOは、グループにリンクされたPSOよりも常に優先されます。
  4. すべてのPSOには一意の優先度インデックス番号を持たせてください。同じ優先度インデックス番号を持つ2つのPSOがある場合、最も低いGUIDを持つPSOが適用されます。
  5. 組織単位(OU)内のすべてのユーザーにPSOを適用したい場合は、OUの全メンバーを含むグループを作成し、そのグループにPSOを適用する必要があります。OU内のユーザーが変更された場合、グループメンバーシップを更新する必要があります。
  6. ほとんどのユーザーにはデフォルトドメインポリシーGPOのパスワードおよびアカウントロックアウトポリシー設定を使用し、特定の小さなユーザーグループのためにPSOを作成してください。
  7. PSOに意味のある名前を付けてください。
Related posts
Active Directoryオブジェクト

アクティブディレクトリ オブジェクト権限:GPO、ADUC、PowerShell を使用した権限管理のステップバイステップガイド

3月 2, 2021
×

There are over 8,500 people who are getting towards perfection in Active Directory, IT Management & Cyber security through our insights from Identitude.

Wanna be a part of our bimonthly curation of IAM knowledge?

  • -Select-
  • By clicking 'Become an insider', you agree to processing of personal data according to the Privacy Policy.