AWS Managed Microsoft AD できめ細かいパスワードポリシーを設定後 net user コマンドで反映を確認できない事象の対処法

net user コマンドでは正確な情報が取得できないため、代替方法として Get-ADUserResultantPasswordPolicy コマンドレットで取得してください。
特集

m.hayakawa

2022.08.04

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

困っていた内容

AWS Managed Microsoft AD できめ細かいパスワードポリシー(PSO)を設定しました。

net user コマンドで確認をしましたが、設定が反映されていないと見受けられました。

どうすれば設定を確認できますか?

どう対応すればいいの?

PowerShell の Get-ADUserResuletantPassowrdPolicy コマンドレットを使用することで、正しい情報を確認できます。

やってみた

事前に AWS Managed Microsoft AD を構築し、Active Directory 管理用サーバーを作成しておきます[参考資料4]。

今回の AWS Managed Mictosoft AD のドメインは hayakawa.local としています。

検証のためユーザー: User01 を作成します。

スタート > Windows 管理ツール > ActiveDirectoryユーザーとコンピュータ > hayakawa.local > hayakawa > Users

右クリックでサブメニューを出し、新規作成 > ユーザーを選択します。

その後、きめ細かいパスワードポリシー(PSO)を変更します。今回は、CustomerPSO-01 のポリシーを変更し、User01 へ適用させます。

スタート > Windows 管理ツール > ActiveDirectory管理センター > 該当ドメインフォルダ > [System] > [Password Setting Container]

今回は「最大パスワード有効期間」を42日から365日に変更します。

「直接の適用先」の「追加」にて、ユーザー: User01 に適用します。

net user コマンドで確認をしてみます。

PS > net user User01 /domain
この要求はドメイン hayakawa.local のドメイン コントローラーで処理されます。

ユーザー名                           User01
フル ネーム                          User01
コメント
ユーザーのコメント
国/地域番号                          000 (システム既定)
アカウント有効                       Yes
アカウントの期限                     無期限

最終パスワード変更日時               2022/08/04 3:28:06
パスワード有効期間                   2022/09/15 3:28:06
パスワード次回変更可能日時           2022/08/05 3:28:06
パスワードあり                       Yes
ユーザーによるパスワード変更可能     Yes

ログオン可能なワークステーション     すべて
ログオン スクリプト
ユーザー プロファイル
ホーム ディレクトリ
最終ログオン日時                     なし

ログオン可能時間                     すべて

所属しているローカル グループ
所属しているグローバル グループ      *Domain Users
コマンドは正常に終了しました。

有効期限を 365 日にしたにも関わらず、反映されていませんでした。

一方で、Get-ADUserResultantPasswordPolicy コマンドレットでは MaxPasswordAge が正確に反映されています。

PS > Get-ADUserResultantPasswordPolicy -Identity User01


AppliesTo                   : {CN=User01,OU=Users,OU=hayakawa,DC=hayakawa,DC=local}
ComplexityEnabled           : True
DistinguishedName           : CN=CustomerPSO-01,CN=Password Settings Container,CN=System,DC=hayakawa,DC=local
LockoutDuration             : 00:00:00
LockoutObservationWindow    : 00:00:00
LockoutThreshold            : 0
MaxPasswordAge              : 365.00:00:00
MinPasswordAge              : 1.00:00:00
MinPasswordLength           : 7
Name                        : CustomerPSO-01
ObjectClass                 : msDS-PasswordSettings
ObjectGUID                  : 1a81057a-e09f-4bf3-ac34-b442782b21c4
PasswordHistoryCount        : 24
Precedence                  : 10
ReversibleEncryptionEnabled : False

きめ細かいパスワードポリシー(PSO)でユーザーへ適用した場合は、Get-ADUserResultantPasswordPolicy コマンドレットでご確認ください。

参考資料

[1] AWS Managed Microsoft AD のパスワードポリシーを管理する - AWS Directory Service

[2] Get-ADUserResultantPasswordPolicy (ActiveDirectory) | Microsoft Docs

[3] -ActiveDirectory-きめ細かいパスワードポリシー(PSO)の設定 - Qiita

[4] AWS Directory Serviceで「Managed Microsoft AD」を構築した際の「管理用サーバー」の設定方法 | DevelopersIO

AWS

関連記事

AD上で表示されるWorkSpacesのコンピューター名を任意の名前に変更してよいか教えてください

Lei.Yang

2024.02.14

不要なDirectory Serviceを削除する際に「Cannot delete the directory because it still has authorized applications」とのエラーが出て削除が出来ません、対処方法を教えてください

Lei.Yang

2024.02.13

Simple AD から Microsoft Managed AD へ移行する際に、一時的に同一サイト名を使用することは可能か教えてください

片方 裕人

2023.10.14

RDS for SQL ServerでKerberos認証を使う条件について

Takuya Shibata

2023.07.29