ドメインパスワードの有効期限

こんにちわ、よろしくお願いします。
NTドメイン環境下での、アカウントのパスワードの有効期限についての質問です。

例えば、ドメインアカウントの原則でパスワードの有効期限を設定してあり、アカウントをロックアウトする、という設定にしてあったとします。
このようなドメイン環境下で、パスワードの有効期限が無期限になっていないユーザーが、期限内にパスワードの変更をしないで、有効期限が切れた後、ログオンしようとすると、どういう動作になるのでしょうか？
今までのパスワードでログオンし、パスワードの変更を要求されるだけなのでしょうか？
それとも、もうそのパスワードは使えずにロックされてしまうのでしょうか？
ご存知の方、教えてください。

No.2 ベストアンサー 回答者： noname#102878 回答日時： 2002/08/01 00:51

パスワードの有効期限が切れる前に接続し、セッションが続いたままであれば、その間に期限が切れても大丈夫だと思います。

会社に行けば実験もできますが、自宅ですのでWorkgroupのWin2000Pro２台で試しました。ドメインでの動作とは多少違うかもしれません。


# ここから私の管理者経験としての余談です。
通常は実際の運用環境でそのような場面が出てくるような運用方法を行ないませんけどね。
仮にはねられたとして、少なくとも期限の２４時間以内にログオンすれば期限が迫っていることを教えてくれますので、それを無視して２４時間以上ログオンし続けたり別のPCからも同じユーザーで複数ログオンすること自体が社内セキュリティポリシーとして問題かと思います。

もし計測や現場ラインでの制御用として長期間の連続ログオンがひつようなのであれば、ドメインのポリシーとしては有効期限を設け、それを適用したくないユーザーは個別に無期限を設定すればいいと思います。

No.1 回答者： noname#102878 回答日時： 2002/07/31 01:31

手元にNT4.0Serverがないので確かではありませんが・・・

パスワードの有効期限とロックアウトは別の項目で関連性はなかったと思いますが？

「有効期限」はそのものズバリ、パスワードに期限を持たせるだけです。
対して「ロックアウト」は無効なパスワード入力が設定回数に達した場合にログインさせなくする機能です。
再度確認してみてください。

つまり、有効期限が切れた場合は「パスワードの有効期限がきれました。新しいパスワードを入力してください」と表示され、新規パスワードを入力するダイアログが表示されるだけだと思います。
ユーザーマネージャで「ユーザーは次回ログオン時にパスワード変更が必要」にチェックしてある状態と同じですね。

参考URL：http://www.jyose.pref.okayama.jp/lanqa/winnt/sec …

この回答への補足

早速のご回答ありがとうございます。
しかしながら、質問の仕方が悪かったみたいです。
もう少し具体的な例で質問したいと思います。

まずNTドメイン環境下において、の話です。
NT環境下では複数のマシンに、一つのユーザーアカウントでログオンできます。
今、仮にユーザーdirectmanがマシンAとマシンBにログオンしたとします。
ユーザーdirectmanはマシンAでパスワードの変更を行います。
次に、既にログオンしていたマシンBで、ドメインのリソースにアクセスしようとすると、その事によりアカウントロックがかかってしまいます。（これは実際に動作確認しています）
これは、ドメインのリソースにアクセスしようとする時にそのマシンにログオンしているユーザーのIDとパスワードを確認しているから、と認識しております。

さてそこで本題なのですが、具体的な例でお話します。
(1)ドメインユーザーマネージャーで有効期限を10日に設定し、ロックアウトする設定にします。（有効期限はPDCの時計で計っている、という前提にします）
(2)10日目のパスワードの有効期限が切れる直前にログオンし、そのままパスワードの有効期限が切れるのを待ちます。
(3)パスワードの有効期限が切れた状態で、ドメインのリソースにアクセスしようとします。（プリンタやらファイルサーバーなど）
(4)と、ここでアカウントロックになるのだろうか？

という質問に変えさせて頂きます。

補足日時：2002/07/31 11:24