【Active Directory】デフォルトドメインポリシーについて

Active Directoryのグループポリシー(GPO)は、3つ(サイトドメインOU)の適用場所(リンク)があります。
グループポリシーの概要は下記の記事を参考にしてください。
【Active Directory】グループポリシーの構成・適用・更新
ローカルグループポリシーは、個々のコンピュータ(OS)に対して、コンピューターやユーザの構成のポリシーを適用する設定でした。 ただし、管理者による集中管理ができず、個々のコンピューターで個別に設定を適用する必要がありました。 ローカルグルー...
このうち、デフォルトで、ドメインにリンクされているGPOとしてDefault Domain Policy、ドメイン内のDomain ControllersOUにリンクされているGPOとして、Default Domain Controllers Policyがあります。

一般的に、Default Domain Policyでは、ドメインのパスワードや認証失敗時のロックアウトに関するポリシーを設定し、Default Domain Controllers Policyドメインコントローラのセキュリティに関連する設定を行います。
スポンサーリンク

Default Domain Policy

デフォルトで、ドメインに対して、リンクされているGPOで、「コンピューターの構成」にて、ドメインのパスワードや認証失敗時のロックアウトに関するポリシーを設定します。
デフォルトでは、「ユーザーの構成」は設定されていません。

パスワードポリシー

Default Domain Policyのパスワードのポリシーを確認します。
グループポリシー管理コンソール(GPMC)を起動し、「フォレスト」>>「ドメイン」>>「グループポリシーオブジェクト」にて、Default Domain Policyを右クリックし、編集をクリックします。

グループポリシー管理エディタが起動します。「コンピューターの構成」>>「ポリシー」>>「Windowsの設定」>>「セキュリティの設定」>>「アカウントポリシー」>>「パスワードのポリシー」へ移動します。

パスワードのポリシー設定が表示されます。よく使用されるポリシーは下記のとおりです。
  • パスワードの長さ:パスワードの最小文字数。デフォルトは7文字以上。1~14文字に設定。
  • パスワードの変更禁止期間:パスワード変更が可能になるまでの期間。この期間は、同じパスワードを使用しないといけません。パスワードを変更した場合、この日数を経過しないとパスワードを変更することができません。デフォルトは1日。
  • パスワードの有効期間:1つの同じパスワードを使用できる期間。この期間を過ぎると、システムから変更を要求されます。デフォルトでは42日。
  • パスワードの履歴を記録する:以前使用したパスワードを設定した回数分だけ、再利用を禁止する。デフォルトは24回。
  • 複雑さの要件を満たす必要があるパスワード:ユーザー名が含まれる3文字以上の連続する文字列を含めず、英大文字、英小文字、数字、アルファベット以外の文字の4カテゴリから3つの文字を使うよう、強制させられる。デフォルトでは有効。
実務的には、パスワードのポリシーは、企業のセキュリティポリシーなどにより、設定はまちまちです。1か月に1回パスワードを変更を強制する企業もあります。ただし、パスワードの変更はユーザーへの負担が大きくなります。パスワードの有効期間や変更禁止期間は設けず、パスワードの長さや複雑さの要件を設定している企業が多いように思います

ロックアウトのポリシー

連続してパスワードを間違えた場合に、一定時間、ユーザのログオンを禁止することができます。
ロックアウトのポリシーを確認するには、「コンピューターの構成」>>「ポリシー」>>「Windowsの設定」>>「セキュリティの設定」>>「アカウントポリシー」>>「アカウントロックアウトのポリシー」へ移動します。

  • アカウントのロックアウトのしきい値:ロックアウトする連続したログオン失敗回数を設定します。デフォルトは0回なので、アカウントロックは無効です。
  • ロックアウト カウンターのリセット:ログオン失敗の回数をリセットされるまでの時間を設定します。デフォルトでは未定義。ログオン失敗しても、ここで指定した時間を待つと、ログオン失敗の回数がリセットされます(ログオン失敗がなかったことになります)
  • ロックアウトの期間:ロックアウトからロックが解除されるまでの時間を設定します。デフォルトでは未定義。ロックアウト後、この時間内は、正しいユーザ・パスワードを入力しても、ログオンはできません。
ロックアウトを設定は、侵入を試みる攻撃者に対しての効果があります。
ただし、利用者が誤ってログオンを失敗し、ロックアウトされた場合に、ヘルプデスクがロック解除やパスワードリセットなど対応する必要がでる場面もあります。このあたりを考慮し、実施可否やしきい値などのパラメータを検討するのが良いかと思います。
スポンサーリンク

Default Domain Controllers Policy

デフォルトで、Domain ControllersOUにリンクされているGPOです。Domain ControllersのOUは、デフォルトで作成されており、ドメインコントローラが所属しています。このGPOでは、ドメインコントローラのセキュリティ関連の設定を行います。
コンピューターの構成」>>「ポリシー」>>「Windowsの設定」>>「セキュリティの設定」>>「ローカルポリシー」>>「ユーザー権利の割り当て」へ移動します。
特に重要なのは、ローカルログオンの許可 です。

ローカルログオンの許可でドメインコントローラーへログオンできるユーザーが定義されています。
Domain Users など、管理者アカウントではないものは含まれてはおらず、管理者ではない、一般ユーザーがドメインコントローラーへログオンすることはできません。

コメント