パスワードポリシーにより、ユーザーパスワードが強力で、定期的に変更されるため、攻撃者がパスワードをクラックすることが非常に不可能になります。

パスワードポリシー設定を編集するには、

    • スタートメニュー→管理ツール→グループポリシー管理
    • コンソールツリーで、フォレストを展開し、ドメインを展開します。, アカウントポリシーを設定する必要があるドメインを選択します
    • ドメインをダブルクリックして、ドメインにリンクされているGpo
    • デフォルトのドメインポリシーを右クリックし、[編集]を選択します。 グループポリシ,
    • ここで、コンピューター構成→ポリシー→Windows設定→セキュリティ設定→アカウントポリシー→パスワードポリシー
    • パスワードポリシーをダブルクリックして、ADで使用可能な六つのパスワード設定 これらの設定のいずれかを右クリックし、プロパティを選択してポリシー設定を定義します
    • 各ポリシー設定のプロパティダイ, [セキュリティポリシー設定]タブでは、その設定の値が設定されます。 Explainタブでは、ポリシー設定とそのデフォルト値について簡単に説明します
  • セキュリティポリシー設定タブで、このポリシー設定を定義 適用をクリックし、OKをクリックします

Active Directoryで使用できる六つのパスワードポリシー設定:

パスワード履歴を強制

この設定は、古いパスワードを再利用する前に、設定する必要がある新しいパスワードの数を決定します。, う古いパスワードを使用しないで継続的にユーザーニングによる最小限のパスワードの年齢の方針の設定は絶対に無駄にはなりません。 値は0から24の間で設定できます。 既定値は、ドメインコントローラーでは24、スタンドアロンサーバーでは0です。

たとえば、Enforce Password History値が10に設定されている場合、ユーザーは、パスワードの有効期限が切れたときに、パスワードを古い値に設定する前に、10個の異なるパスワード

値が0に設定されている場合、パスワード履歴は記憶されず、ユーザーはパスワードの有効期限が切れたときに古いパスワードを再利用できます。,

最大パスワード有効期間

この設定は、パスワードを使用できる最大日数を決定します。 一度に最大限のパスワードの年齢が満了した後、利用者はパスワードを変更する. ことにより、指定したユーザーになっては、一つのパスワードです。 値は0~999日の間で設定できます。 デフォルト値は42です。

たとえば、最大パスワード有効期間の値が60に設定されている場合、ユーザーは60日ごとにパスワードを変更する必要があります。

値が0に設定されている場合、パスワードは期限切れになることはなく、ユーザーはパスワードを変更する必要はありません。,

最小パスワード有効期間

この設定は、パスワードを変更する前に使用する必要がある最小日数を決定します。 最小パスワードの有効期限が切れた場合にのみ、ユーザーはパスワードを変更できます。 ユーザーがパスワードを頻繁に変更しすぎないようにします。 値は0~999日の間で設定できます。 既定値は、ドメインコントローラーでは1、スタンドアロンサーバーでは0です。

たとえば、パスワードの最小期間が10に設定されている場合、ユーザーは最後のパスワード変更後10日間パスワードを変更できません。,

この設定は、パスワード履歴の強制設定の有効性を保証するために使用されます。 パスワードの最小期間が0に設定されている場合、ユーザーは、Enforce Password Historyに設定された値に達するまで、2分ごとにパスワードを変更し、お気に入りの古いパスワードを再利用することができます。 パスワードの最小期間を一定の値に設定すると、ユーザーはパスワード履歴の強制設定を無効にするのに十分な頻度でパスワードを変更できません。

最小パスワードの有効期間の値は、常に最大パスワードの有効期間よりも小さくする必要があります。,

最小パスワード長

この設定は、パスワードに含める必要のある最小文字数を決定します。 値は0~14の間で設定できます。 既定値は、ドメインコントローラーでは7、スタンドアロンサーバーでは0です。

たとえば、パスワードの最小長が6に設定されている場合、パスワードには少なくとも6文字を含める必要があります。

0に設定されている場合、パスワードは必要ありません。

パスワードは複雑度要件を満たす必要があります

この設定は、パスワードが指定された複雑度要件を満たす必要があるかどうかを決定しま, この設定が有効な場合、パスワードは次の要件を満たす必要があります。,529b6d05c”>

  • パスワードを含む文字から少なくとも次の三つのカテゴリー:
      • 英大文字(A–Z)
      • 英小文字(a–z)
      • 拠点10桁の数字(0–9)
    • 非英数字(例:$,#、%)

デフォルトでは、この設定が有効なインターネットドメインコントローラーや障がい者のスタンドアローンのサーバー,

可逆暗号化を使用してパスワードを保存する

このセキュリティ設定は、パスワードを可逆暗号化を使用して保存するかどうかを決定します。 可逆暗号化を使用してパスワードが保存されている場合、パスワードを復号化する方が簡単になります。 この設定は、アプリケーションまたはサービスが特定の機能を実行するためにユーザーのユーザー名とパスワードを必要とする場合 この設定は、絶対に必要な場合にのみ有効にする必要があります。 デフォルトでは、この設定は無効です。