パスワード無効前に変更を促す設定

とある会社でシステム管理をしています。
AD：Winodws2003R2（会社で1台）
ClientA：Winodws2008（シンクライアント）
ClientB：Winodws2003（シンクライアント）
で利用しています。

ClientAがログインし初期値のパスワードが無効になる前にユーザに変更を促す
メッセージが表示されないのです。

clientBではメッセージについては、よく覚えていませんが
　ユーザーのパスワードは、あと　xx日で有効期限が切れます。
　パスワードを変更しますか？
という感じで表示されたと思います。

ちなみに、メッセージはパスワードを変更するか期限が切れるまで
ログオンの度に表示されます。（xx日は期限切れまでの日数が表示されます。）

どなたかアドバイスいただけないでしょうか。

No.1 ベストアンサー 回答者： maesen 回答日時： 2011/10/13 09:46

＞ClientAがログインし初期値のパスワードが無効になる前にユーザに変更を促す

＞メッセージが表示されないのです。

ここで言うユーザーはドメインユーザーという認識でいいでしょうか。

パスワード期限切れのメッセージは、

GPOの
コンピュータの構成\Windows の設定\セキュリティの設定\アカウント ポリシー\パスワードポリシー\
「パスワード有効期間」
と
コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション\
「対話型ログオン：パスワードが無効になる前にユーザーに変更を促す」

それと、各ユーザーのパスワードの最終設定日時（pwdLastSet）の３つの要素が関係します。
それぞれの設定値を確認してはいかがでしょうか。
ドメインコントローラがWindows Server 2003 R2ですのでpwdLastSetを調べるためにはスクリプトを作成するか、ADSIエディタをインストールする必要があります。

「対話型ログオン：パスワードが無効になる前にユーザーに変更を促す」
ちなみにこれをGPOで設定していない場合のデフォルト値は14日です。（Windows 7、Windows Server 2008 R2では5日）

これらの３要素がメッセージ表示の状態になるためには概算ですが以下の状態になるときです。

pwdLastSet ＋ パスワード有効期間 ＋ ユーザーに変更を促す ≧ 現在日時

この条件を満たすのにメッセージが出ない場合はなにか別に原因があるということになります。
なお、当たり前ですが　pwdLastSet ＋ パスワード有効期間　≧ 現在日時が満たされる場合は別のメッセージになります。

またこれは無いとは思いますが、パスワードが無期限になっていないかも念のためチェックしたほうがいいですね。

＞AD：Winodws2003R2（会社で1台）

まったく回答に関係ないですが、
規模はわかりませんがシンクライアントを導入しているような環境でDCが1台というのはすごく不安ですね。

この回答へのお礼

maesenさんレス感謝です。
なんとか苦戦しながらも設定してみました。

180日以上経過しそうなユーザを探して挙動確認してみたいと思います。

ありがとうございました。

お礼日時：2011/10/21 23:17