【Active Directory】簡単なパスワードを持つユーザーの作成（PSOによるパスワードポリシー）

エンタープライズ環境では、ローカルインフラやドメイン上のコンピュータへの不正アクセスを防ぐために、複雑なパスワードを持つことが不可欠です。

しかし、ゲストが会社のコンピュータを短期間使用する必要がある場合など、よりシンプルなパスワードを持つ一時的なユーザーを作成することが便利な場合もあります。

本ブログでは、Active Directoryで簡単なパスワードを持つ一時的なユーザーを作成する手順を説明します。

仮パスワードを持つユーザーを作成する
シンプルなパスワードのプロファイルの作成
ユーザーにパスワードプロファイルを適用
動作確認
まとめ

仮パスワードを持つユーザーを作成する

簡単なパスワードを持つ一時的なユーザーを作成するには、まずActive Directoryでユーザーを作成する必要があります。ドメインコントローラでサーバーマネージャを開き、ツールメニューをクリックし、「Active Directory ユーザーとコンピューター」を選択します。

コンソールツリーで、ユーザーを作成する組織単位（今回は営業部OUとします）を選択します。

組織単位を右クリックし、［新規作成］→［ユーザー］を選択します。

姓や名など必要なフィールドを入力し、ユーザーのログオン名を設定します。今回は、guest001とし、「次へ」をクリックします。

Windows Server の最小限の複雑さの要件を満たす一時的なパスワードを設定し、「ユーザーは次のログオン時にパスワードを変更する必要がある」オプションにチェックを付けます。今回、パスワードはpassword@123とします。

「完了」をクリックして、ユーザーを作成します。

シンプルなパスワードのプロファイルの作成

一時的なユーザーを作成したら、次は「Active Directory 管理センター」で複雑でないパスワードのプロファイルを作成します。

「サーバーマネージャ」を開き、ツールメニューをクリックし、「Active Directory 管理センター」を選択します。

ドメイン名「hirotanoblog.local」から「System」コンテナをクリックし、「Password Settings Container」をダブルクリックします。

「新規」ボタンをクリックし、「パスワード設定」を選択します。

「パスワードの設定の作成」画面が表示されます。

パスワードプロファイルの名前（今回は、Password_Simple とします）を入力し、「優先順位」を1に設定します。また、「パスワードの最小の長さを適用する」オプションを選択し、3と設定します。

また、下記オプションのチェックを外します。

「パスワードの履歴を記録する」：ユーザーはデフォルトでパスワードを繰り返すことができないようになります。値を24に設定すると、ユーザーは24回のパスワード変更後にしか同じパスワードを繰り返すことができません。
「パスワードは要求する複雑さを満たす」
「最小パスワード有効期間を適用する」：デフォルトでは、パスワードは少なくとも1日前のものでなければなりません。つまり、ユーザーが今日パスワードを変更した場合、24時間経過するまで再度パスワードを変更することはできません。
「最大パスワード有効期間を適用する」：デフォルトでは、同じパスワードを42日間使用した場合、ユーザーは次回ログオン時にパスワードの変更を要求されます。

「OK」をクリックして、複雑さを伴わないパスワードプロファイルを作成します。

ユーザーにパスワードプロファイルを適用

ユーザーに対して、上記で設定した複雑さを伴わないパスワードプロファイルをリンクするには、「Active Directory 管理センター」から、対象ユーザー（今回はguest001）を右クリックし、「プロパティ」を選択します。

「直接関連付けられたパスワードの設定」より「割り当て」をクリックします。

オブジェクト名に「Password_Simple」を入力し、「名前を確認」、「OK」をクリックします。

「OK」をクリックします。

動作確認

ユーザー名「guest001」、パスワード「password@123」でサインインを試みます。

パスワードの変更を求められますので、「OK」をクリックします。

新しいパスワードとして、シンプルなパスワード（今回は123と入力しています）を登録します。

パスワードが変更されました。「OK」をクリックすると、サインインされます。

まとめ

ゲストなど特定のユーザーに対して複雑さを伴わない一時的なパスワードを作成することは、「Active Directory管理センター」を使用して簡単に行うことができます。一時的なパスワードを持つユーザーを作成し、複雑さを伴わないパスワードプロファイルを適用することで、管理者は、ゲストや一時的なユーザーのみ、会社のリソースにアクセスできるようにすることができます。また、ユーザーだけでなく、ユーザーグループに対してもパスワードプロファイルに適用させることができ、複数のユーザーを追加する手順も簡素化することができます。これらより、管理者はゲストやその他の非正規ユーザーによる一時的なアクセスを可能にすることができます。