この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
困っていた内容
AWS Managed Microsoft AD できめ細かいパスワードポリシー(PSO)を設定しました。
net user コマンドで確認をしましたが、設定が反映されていないと見受けられました。
どうすれば設定を確認できますか?
どう対応すればいいの?
PowerShell の Get-ADUserResuletantPassowrdPolicy コマンドレットを使用することで、正しい情報を確認できます。
やってみた
事前に AWS Managed Microsoft AD を構築し、Active Directory 管理用サーバーを作成しておきます[参考資料4]。
今回の AWS Managed Mictosoft AD のドメインは hayakawa.local としています。
検証のためユーザー: User01 を作成します。
スタート > Windows 管理ツール > ActiveDirectoryユーザーとコンピュータ > hayakawa.local > hayakawa > Users
右クリックでサブメニューを出し、新規作成 > ユーザーを選択します。
その後、きめ細かいパスワードポリシー(PSO)を変更します。今回は、CustomerPSO-01 のポリシーを変更し、User01 へ適用させます。
スタート > Windows 管理ツール > ActiveDirectory管理センター > 該当ドメインフォルダ > [System] > [Password Setting Container]
今回は「最大パスワード有効期間」を42日から365日に変更します。
「直接の適用先」の「追加」にて、ユーザー: User01 に適用します。
net user コマンドで確認をしてみます。
PS > net user User01 /domain
この要求はドメイン hayakawa.local のドメイン コントローラーで処理されます。
ユーザー名 User01
フル ネーム User01
コメント
ユーザーのコメント
国/地域番号 000 (システム既定)
アカウント有効 Yes
アカウントの期限 無期限
最終パスワード変更日時 2022/08/04 3:28:06
パスワード有効期間 2022/09/15 3:28:06
パスワード次回変更可能日時 2022/08/05 3:28:06
パスワードあり Yes
ユーザーによるパスワード変更可能 Yes
ログオン可能なワークステーション すべて
ログオン スクリプト
ユーザー プロファイル
ホーム ディレクトリ
最終ログオン日時 なし
ログオン可能時間 すべて
所属しているローカル グループ
所属しているグローバル グループ *Domain Users
コマンドは正常に終了しました。
有効期限を 365 日にしたにも関わらず、反映されていませんでした。
一方で、Get-ADUserResultantPasswordPolicy コマンドレットでは MaxPasswordAge が正確に反映されています。
PS > Get-ADUserResultantPasswordPolicy -Identity User01
AppliesTo : {CN=User01,OU=Users,OU=hayakawa,DC=hayakawa,DC=local}
ComplexityEnabled : True
DistinguishedName : CN=CustomerPSO-01,CN=Password Settings Container,CN=System,DC=hayakawa,DC=local
LockoutDuration : 00:00:00
LockoutObservationWindow : 00:00:00
LockoutThreshold : 0
MaxPasswordAge : 365.00:00:00
MinPasswordAge : 1.00:00:00
MinPasswordLength : 7
Name : CustomerPSO-01
ObjectClass : msDS-PasswordSettings
ObjectGUID : 1a81057a-e09f-4bf3-ac34-b442782b21c4
PasswordHistoryCount : 24
Precedence : 10
ReversibleEncryptionEnabled : False
きめ細かいパスワードポリシー(PSO)でユーザーへ適用した場合は、Get-ADUserResultantPasswordPolicy コマンドレットでご確認ください。
参考資料
[1] AWS Managed Microsoft AD のパスワードポリシーを管理する - AWS Directory Service
[2] Get-ADUserResultantPasswordPolicy (ActiveDirectory) | Microsoft Docs
[3] -ActiveDirectory-きめ細かいパスワードポリシー(PSO)の設定 - Qiita
[4] AWS Directory Serviceで「Managed Microsoft AD」を構築した際の「管理用サーバー」の設定方法 | DevelopersIO