AWS Managed Microsoft AD できめ細かいパスワードポリシーを設定後 net user コマンドで反映を確認できない事象の対処法

net user コマンドでは正確な情報が取得できないため、代替方法として Get-ADUserResultantPasswordPolicy コマンドレットで取得してください。
2022.08.04

困っていた内容

AWS Managed Microsoft AD できめ細かいパスワードポリシー(PSO)を設定しました。

net user コマンドで確認をしましたが、設定が反映されていないと見受けられました。

どうすれば設定を確認できますか?

どう対応すればいいの?

PowerShell の Get-ADUserResuletantPassowrdPolicy コマンドレットを使用することで、正しい情報を確認できます。

やってみた

事前に AWS Managed Microsoft AD を構築し、Active Directory 管理用サーバーを作成しておきます[参考資料4]。

今回の AWS Managed Mictosoft AD のドメインは hayakawa.local としています。

検証のためユーザー: User01 を作成します。

スタート > Windows 管理ツール > ActiveDirectoryユーザーとコンピュータ > hayakawa.local > hayakawa > Users

右クリックでサブメニューを出し、新規作成 > ユーザーを選択します。

その後、きめ細かいパスワードポリシー(PSO)を変更します。今回は、CustomerPSO-01 のポリシーを変更し、User01 へ適用させます。

スタート > Windows 管理ツール > ActiveDirectory管理センター > 該当ドメインフォルダ > [System] > [Password Setting Container]

今回は「最大パスワード有効期間」を42日から365日に変更します。

「直接の適用先」の「追加」にて、ユーザー: User01 に適用します。

net user コマンドで確認をしてみます。

PS > net user User01 /domain
この要求はドメイン hayakawa.local のドメイン コントローラーで処理されます。

ユーザー名                           User01
フル ネーム                          User01
コメント
ユーザーのコメント
国/地域番号                          000 (システム既定)
アカウント有効                       Yes
アカウントの期限                     無期限

最終パスワード変更日時               2022/08/04 3:28:06
パスワード有効期間                   2022/09/15 3:28:06
パスワード次回変更可能日時           2022/08/05 3:28:06
パスワードあり                       Yes
ユーザーによるパスワード変更可能     Yes

ログオン可能なワークステーション     すべて
ログオン スクリプト
ユーザー プロファイル
ホーム ディレクトリ
最終ログオン日時                     なし

ログオン可能時間                     すべて

所属しているローカル グループ
所属しているグローバル グループ      *Domain Users
コマンドは正常に終了しました。

有効期限を 365 日にしたにも関わらず、反映されていませんでした。

一方で、Get-ADUserResultantPasswordPolicy コマンドレットでは MaxPasswordAge が正確に反映されています。

PS > Get-ADUserResultantPasswordPolicy -Identity User01


AppliesTo                   : {CN=User01,OU=Users,OU=hayakawa,DC=hayakawa,DC=local}
ComplexityEnabled           : True
DistinguishedName           : CN=CustomerPSO-01,CN=Password Settings Container,CN=System,DC=hayakawa,DC=local
LockoutDuration             : 00:00:00
LockoutObservationWindow    : 00:00:00
LockoutThreshold            : 0
MaxPasswordAge              : 365.00:00:00
MinPasswordAge              : 1.00:00:00
MinPasswordLength           : 7
Name                        : CustomerPSO-01
ObjectClass                 : msDS-PasswordSettings
ObjectGUID                  : 1a81057a-e09f-4bf3-ac34-b442782b21c4
PasswordHistoryCount        : 24
Precedence                  : 10
ReversibleEncryptionEnabled : False

きめ細かいパスワードポリシー(PSO)でユーザーへ適用した場合は、Get-ADUserResultantPasswordPolicy コマンドレットでご確認ください。

参考資料

[1] AWS Managed Microsoft AD のパスワードポリシーを管理する - AWS Directory Service

[2] Get-ADUserResultantPasswordPolicy (ActiveDirectory) | Microsoft Docs

[3] -ActiveDirectory-きめ細かいパスワードポリシー(PSO)の設定 - Qiita

[4] AWS Directory Serviceで「Managed Microsoft AD」を構築した際の「管理用サーバー」の設定方法 | DevelopersIO