2008.09.30

Windows Server 2008では local Administratorのパスワードが有効期限切れになる

利用者がパスワードを定期的に変更しなければいけないポリシーにしている環境は結構あると思います。

この時に社内のネットワーク ActiveDirectoryの グループポリシーを使ってそれを実現している場合、
・Windows2003までのドメインでは、パスワードのポリシーに関しては、ドメイン全体に対して1種類のポリシー(Default Domain Policy)しか設定できない。
・パスワードのポリシーはコンピュータの構成で設定するものなので、コンピュータがドメインに参加してさえいればローカルのアカウントに対してもその設定が適用される。
・Windows Server 2008のローカルの Administratorはデフォルトで『パスワードを無期限にする』のチェックが入っていない。
という理由から、放って置くとマシンローカルのアカウントのパスワードが有効期限切れになります。
あまりパスワードの有効期限について意識しないで Windows Server 2008をインストールすると、
インストール直後は良くても数ヶ月過ぎるといきなり何かが正しく動かなかったりする可能性があるということです。

そうならないためには、
・意図して Windows Server 2008のローカルの Administratorの『パスワードを無期限にする』のチェックを付ける。
もしくは
・ちゃんと定期的に Administratorのパスワードを変更する。
といった作業が必要です。

なお、Windows 2008のドメインにすれば、パスワードのポリシーを複数設定できるため、ポリシーの適用除外が指定できるようですが、
もともとセキュリティ向上のために Local Administratorのパスワードはデフォルトでは無期限になっていないのですから、よく考えて行うべきでしょうね。

コメントを投稿

(いままで、ここでコメントしたことがないときは、コメントを表示する前にこのブログのオーナーの承認が必要になることがあります。承認されるまではコメントは表示されません。そのときはしばらく待ってください。)

photo
ichikawa