パスワード変更を促すメッセージが出ない。

パスワードが無効になる前にユーザに変更を促すメッセージが
でなくて困っています。

サーバはwindows server 2003、ユーザはwindows　xpを使用しています。

GPOですべてのコンピュータに対して、「パスワードが無効になる前に
ユーザに変更を促す」の設定をデフォルト値の14日から7日に変更しました。
しかし、7日前になってもパスワード変更を促すメッセージが出ずに、
パスワード期限切れになった、というクレームがユーザからありました。

サーバ側では、問題のあったＰＣにＧＰＯが設定され、「パスワードが無効になる前に
ユーザに変更を促す」の値が7になっていることを確認しました。

問題のあったＰＣで、そのＰＣのレジストリの値を確認すると
PasswordExpiryWarningの値が７でした。
しかし、gpresult /z の結果では、PasswordExpiryWarningの項目が
ごっそり抜け落ちていました。
（同じＧＰＯが設定されている別ＰＣのGPOの結果と比較すると
　表示されている項目が明らかに少ないのです。）

パスワードが無効になる前にユーザに変更を促すメッセージを
表示させるにはどうしたら宜しいでしょうか？
また、gpresultの結果とレジストリの値が違うのはどうしてなのでしょうか？

No.2 回答者： ohbacomeon 回答日時： 2011/06/19 15:09

私が経験したケースでは、

勝手にクライアントのWindowsXPを再インストールした"馬鹿野郎な"ユーザがいて、
当然そのPCはADに参加していない状態で、ユーザはローカルにAdministratorとしてログオンし、
ドメインのリソースにアクセスするときだけ、
ドメインのユーザ名、パスワードを設定して使用していました。

この場合、ドメインに対話型ログオンをしないので、当然に、
「パスワードが無効になる前にユーザに変更を促す」ことができません。

で、この"馬鹿野郎"は勝手にパスワードの期限切れにするな、元に戻せ、とクレームをつけてきて、
一定期間でパスワードを変更するのは社内のセキュリティルールだから従ってくれ、と言っても、
ユーザの利便性を損なうな、こいつはネットワーク管理者として不適格だ、
と職権をかさにきて本部長にクレームを上げやがって、
本部長は、管理者の君が言っていることは理解できるが、彼の言っていることは意味がわからん、と。

どうやら、この馬鹿野郎は、ドメインのパスワードの変え方がわからなかった
（会話型ログオンしてないからいかんのよね）だけなのですが、
わからないと言えずに、逆切れしていたのでした。

だから、PCをドメインから脱退させてしまったり、ドメインユーザとして会話型ログオンをしていないのが原因じゃないかと思います。

この回答への補足

回答ありがとうございます。
そんなユーザもいるんですね、、、

問題のユーザに問い合わせたところ、以下のように
言っていました。
・毎日、ログオン、ログオフしている。
・社内LANに常時接続している。
・ログオンするときは、ドメインを選択している。
　（ローカルログオンしていない）

そうすると、ご指摘頂いた会話型ログオンの
原因でもないように思います。
もう、お手上げ状態です。
他に考えられる原因はありませんでしょうか。

補足日時：2011/06/26 01:10

No.1 回答者： Toshi0230 回答日時： 2011/06/19 09:10

GPOってことはAD環境ですね？

詳しい状況が判らないので何ともいえませんが…

ユーザがノートPCユーザで、ADに接続していない状態でPCにログインするような使い方をしていると、質問のような状態になりますね。
どうもADのDCできちんと認証させてログインするようにしないと、パスワードの警告は表示されないようです。（昨今の2008とVista/7の組み合わせでは判りませんが）

> どうしたら宜しいでしょうか？

上記のようなケースであった場合は、運用で工夫するしかないのでは？
私も上記のケースで同様の事態に陥りましたが、根本的な策は見いだせませんでした。

> gpresultの結果とレジストリの値が違うのはどうしてなのでしょうか？

こちらは判らないので他の方にお任せします。

この回答への補足

回答ありがとうございます。
今回報告させて頂いた現象は、私だけではないみたい
ですね。ご指摘頂いたように、ユーザがADに接続して
いるかどうかも確認します。

補足日時：2011/06/19 23:50