
Active Directory(以下、AD)のコンピュータアカウントのパスワードの有効期間についてです。
1.なぜコンピュータアカウントに有効期間が必要なのか
2.コンピュータアカウントの有効期間の設定を無効にした際にどんなリスクがあるのか
ADのコンピュータアカウントには有効期間がデフォルトで30日と設定されていますが、30日以上経過した後でも問題なく認証が完了してしまいます。(60日以上でも同様です)
これは、コンピュータ側とドメインコントローラ側が持つコンピュータアカウントの情報が変わらないから認証に成功してしまうということでした。
これはMicrosoftにとって正常な動作なのでしょうが、
有効期間の意味が無いように感じます。
No.1ベストアンサー
- 回答日時:
1.なぜコンピュータアカウントに有効期間が必要なのか
パスワードは同じものを使い続けると解読されるリスクが高くなることは理解されていると思います。
そのため、定期的な更新をしましょうということです。
これは、ユーザーアカウント、さらにはADに限らず同じことで定期的にパスワードを変更しましょうという運用にすると思います。
2.コンピュータアカウントの有効期間の設定を無効にした際にどんなリスクがあるのか
上記のパスワード解読のリスク。
古いバックアップなどが盗難されたなどありましたら、このバックアップが使用され、コンピュータがなりすましにあう可能性のリスクがあると思います。
>ADのコンピュータアカウントには有効期間がデフォルトで30日と設定されていますが、30日以上経過した後でも問題なく認証が完了してしまいます。(60日以上でも同様です)
パスワードの変更にはドメインコントローラ(以下、DC)とクライアント(以下、PC)間でネゴエーションして変更を行います。
従って30日以上経過しても、PCを立ち上げてDCと通信していなければ、DCとPCで持っているパスワードは同じものです。
ここでPCを起動すると30日以上経過しているため、起動後早い段階でネゴエーションしパスワードを変更する動作になります。
ユーザーでも同じですよね。
パスワード有効期限が10日のユーザーを50日間使用せずその後ログオンした場合、前のパスワードでログオンして、新しいパスワードへの変更が強制される動作になると思います。
>これは、コンピュータ側とドメインコントローラ側が持つコンピュータアカウントの情報が変わらないから認証に成功してしまうということでした。
そうですね。正規のコンピュータですから。
上で説明したようにパスワードが同じだからということです。
これが、同じコンピュータ名の偽装されたPCならばパスワードが一致することは無いのでセキュアチャネルが確立できないのでDC-PC間の通信が出来ないことになります。
>有効期間の意味が無いように感じます。
パスワードの定期的な変更に意味が無いと考えればその通りですが、リスク軽減としては基本的なことだと思います。
迅速で的確な回答をいただき、ありがとうございます。
一般的なパスワード変更の流れを想定することで、より理解も深まりました。
やはり無効化してしまうとそれだけセキュリティが疎かになるんですね…
ありがとうございました。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
verify@twitter.comから、メー...
-
Excelのセルにユーザー名...
-
pixivで新規登録しようと思い、...
-
Twitter verify@twitter.comに...
-
sageがついてるメールアドレス
-
インスタの乗っ取り解除につい...
-
Instagramからこんなメールがき...
-
メールを返信したら、英語のメ...
-
email.ne.jpのメールアドレスを...
-
メールのマナー編
-
LINE TCBというところからLINE...
-
ツイッターアカウント凍結後新...
-
メールエラー
-
Steamのアカウントにログインで...
-
ATAパスワードでロックされたSS...
-
不正ログインされました。対応...
-
存在しないアドレスにメールを...
-
インスタで高校生からオフパコ...
-
携帯電話を解約してもSMSの受信...
-
Yahooメールにログインできません
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
CSVファイルを添付するときにパ...
-
Excelのセルにユーザー名...
-
Steamのアカウントにログインで...
-
メールを返信したら、英語のメ...
-
カカオで退会せずに、アプリだ...
-
runas実行した時にきかれるパス...
-
ユニクロやGUのシフト管理アプ...
-
インスタの乗っ取り解除につい...
-
メールアドレスで上付きのハイフン
-
「そのメールアドレスはすでに...
-
メールエラー
-
pixivで新規登録しようと思い、...
-
携帯電話を解約してもSMSの受信...
-
インスタのアイコンについてるN...
-
「@」(アットマーク)の無いメ...
-
verify@twitter.comから、メー...
-
カカオトークを退会せずにアン...
-
pixivでロム専・登録したばかり...
-
CDにパスワードをかける
-
~@live.jpのメール受信につい...
おすすめ情報