ADのコンピュータアカウントの有効期間について

解決済

質問者：talas01
質問日時：2012/11/04 19:54
回答数：1件

Active Directory(以下、AD)のコンピュータアカウントのパスワードの有効期間についてです。

１．なぜコンピュータアカウントに有効期間が必要なのか
２．コンピュータアカウントの有効期間の設定を無効にした際にどんなリスクがあるのか

ADのコンピュータアカウントには有効期間がデフォルトで30日と設定されていますが、30日以上経過した後でも問題なく認証が完了してしまいます。（60日以上でも同様です）

これは、コンピュータ側とドメインコントローラ側が持つコンピュータアカウントの情報が変わらないから認証に成功してしまうということでした。

これはMicrosoftにとって正常な動作なのでしょうが、
有効期間の意味が無いように感じます。

通報する

この質問への回答は締め切られました。

質問の本文を隠す

このQ&Aに関連する最新のQ&A

「意味期間」に関するQ&A：数年、休養期間が有りましたが、今強く彼女が欲しいと願っています。ですか、こういう意味での女性への接

さらに表示

「情報アカウント」に関するQ&A： GmailアカウントのPOP情報などの編集方法

「期間」に関するQ&A： PMS期間の不快感を乗り切るには

「意味チャネル」に関するQ&A：チャネルの意味

「認証情報」に関するQ&A： XMLHTTPを用いて認証が必要なURLから情報をダウンロードする

「意味変更」に関するQ&A：ＡＤＳＬプロバイダ変更意味ある？

回答 (1件)

ベストアンサー優先
最新から表示
回答順に表示

No.1ベストアンサー

回答者： maesen
回答日時：2012/11/05 11:38

１．なぜコンピュータアカウントに有効期間が必要なのか

パスワードは同じものを使い続けると解読されるリスクが高くなることは理解されていると思います。
そのため、定期的な更新をしましょうということです。

これは、ユーザーアカウント、さらにはADに限らず同じことで定期的にパスワードを変更しましょうという運用にすると思います。

２．コンピュータアカウントの有効期間の設定を無効にした際にどんなリスクがあるのか
上記のパスワード解読のリスク。
古いバックアップなどが盗難されたなどありましたら、このバックアップが使用され、コンピュータがなりすましにあう可能性のリスクがあると思います。

＞ADのコンピュータアカウントには有効期間がデフォルトで30日と設定されていますが、30日以上経過した後でも問題なく認証が完了してしまいます。（60日以上でも同様です）
パスワードの変更にはドメインコントローラ（以下、DC）とクライアント（以下、PC）間でネゴエーションして変更を行います。
従って30日以上経過しても、PCを立ち上げてDCと通信していなければ、DCとPCで持っているパスワードは同じものです。

ここでPCを起動すると30日以上経過しているため、起動後早い段階でネゴエーションしパスワードを変更する動作になります。

ユーザーでも同じですよね。
パスワード有効期限が10日のユーザーを50日間使用せずその後ログオンした場合、前のパスワードでログオンして、新しいパスワードへの変更が強制される動作になると思います。

＞これは、コンピュータ側とドメインコントローラ側が持つコンピュータアカウントの情報が変わらないから認証に成功してしまうということでした。

そうですね。正規のコンピュータですから。
上で説明したようにパスワードが同じだからということです。
これが、同じコンピュータ名の偽装されたPCならばパスワードが一致することは無いのでセキュアチャネルが確立できないのでDC-PC間の通信が出来ないことになります。

＞有効期間の意味が無いように感じます。

パスワードの定期的な変更に意味が無いと考えればその通りですが、リスク軽減としては基本的なことだと思います。

- 0
- 件

通報する

この回答へのお礼

迅速で的確な回答をいただき、ありがとうございます。

一般的なパスワード変更の流れを想定することで、より理解も深まりました。
やはり無効化してしまうとそれだけセキュリティが疎かになるんですね…

ありがとうございました。

通報する

お礼日時：2012/11/05 20:08

このQ&Aに関連する人気のQ&A

「情報アカウント」に関するQ&A： Windows7 アカウントを標準から管理者へ変更

さらに表示

「意味変更」に関するQ&A：月々サポートが終了したら

「認証情報」に関するQ&A：リカバリディスクを違うPCに使う事は出来ますか？

「意味期間」に関するQ&A： iPhoneの件。２４ヶ月のお務めが終わったら。

「意味チャネル」に関するQ&A：ユナイテッド航空は機内サービスなどは評判いいのでしょうか？

「期間」に関するQ&A：履歴書に短い期間でも書かないと行けないか？面接で退職理由を正直に言わないと行けないか？教えてください。

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう！

質問する（無料）

このQ&Aを見た人はこんなQ&Aも見ています

専門家回答数ランキング

専門家

※過去一週間分の回答数ランキングです。

質問する（無料）

他の専門家の回答をチェック

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QDomainAdminsとAdministratorsの違い

domain環境におけるDomainAdminsとAdministratorsの違いは
何でしょうか？下記Microsoftのサイトで確認しましたが、同じに思えます。
http://technet2.microsoft.com/WindowsServer/ja/library/1631acad-ef34-4f77-9c2e-94a62f8846cf1041.mspx?mfr=true
相違点を教えて下さい。

Aベストアンサー

例として，次のようなWindowsPC群があるとします。
　　２台のドメインコントローラ…DC1とDC2
　　ワークグループ状態の４台のPC…WS1,WS2,WS3,WS4
個々のPCには，各々のPC１台だけを管理するグループとしてAdministratorsが存在します（注：DC1,DC2は複製なので合わせて１台扱いです）。
WS1～WS4をドメインに参加させると，ActiveDirectory上のDomain Adminsグループが，WS1～WS4の各Administratorsグループのメンバとして追加されます。

上記については質問者が示したWebページで説明されています。同ペ...続きを読む

他の回答も見る

Qポートの80と443

こちらのサービス（https://secure.logmein.com/）を利用すると、インターネットを見られるサーバーのポートの80と443が空いていればルータやファイアウォールに特段の設定なく外部からサーバーを操作できるそうですが、逆にサーバーのポートの80や443を空けることには何か危険性があるのでしょうか。

Aベストアンサー

ポート80は一般的なHTTP、ポート443はHTTPSです。
この２つのポートがあいていなければインターネット接続（WEBブラウジング）は出来ません。
ですから、ほとんどのファイアウォールでこのポートは開いています。（インターネット接続を制限している社内LANでは当然閉じていますが）

ちなみに、よく使うポートとしてはFTPで20、21、SMTP（送信メール）で25、受信メールPOP3で110あたりです。セキュリティポリシー上、この辺は制限される事も多いですが、HTTP 80、HTTPS（暗号化用）443は通常閉じません。

危険性？
WEBプロトコルを使ってFTP的なファイル転送(WebDAV)やVPN等も出来るようになっています。当然そこにはある種の危険はつきものですが、WEBブラウジングに伴う危険と大きく変わりません。ウィルス等に感染していればこの２つのポートだけでも相当危険でしょうね。

参考まで。

他の回答も見る

Qドメインの一般ユーザーにローカルの管理者権限を付与したい

ドメインの一般ユーザーにローカルコンピューターの管理者権限を付与する方法を教えてください。ドメイン管理者のパスワードは知っています。

Aベストアンサー

Windows XPと仮定して。
1.ローカルコンピューターにドメイン管理者のアカウントでログオン。
2.「マイコンピュータ」を右クリック⇒「管理」
3.「コンピュータの管理」画面⇒「システムツール」⇒「ローカルユーザーとグループ」⇒「グループ」
4.「Administrators」を右クリック⇒「グループに追加」
5.ドメインの特定のユーザー（あるいは、Domain Users）を追加
でできるはずです。

他の回答も見る

Qドメイン再参加時に、エラー:アクセスが拒否されました。

---------------------------
コンピューター名/ドメイン名の変更
---------------------------
参加の操作を正しく完了できませんでした。
これは、既存の "PC名" という名前のコンピューターアカウントが以前、別の資格情報で作成された可能性があります。
別のコンピューター名を使うか、管理者に連絡して、競合を発生している無効なアカウントを削除してもらってください。

エラー:アクセスが拒否されました。
---------------------------
OK
---------------------------

ドメイン再参加...続きを読む

Aベストアンサー

> パソコン内の個人用フォルダ（C:\Users\ドメインユーザー名のフォルダ）は削除・再作成されますか？

削除も再作成もされず、そのまま残ります。

ワークグループで使用している PC に、その PC のローカルに作成したアカウントでログオンしているのでしょうかね。
この PC を Active Directory に参加させたとします。
AD 参加後、従来と同様に PC のローカルに作成されているユーザーアカウントでログオンした場合は以前の環境を引き続き使用できます。

AD 参加後、AD で管理されているユーザーア...続きを読む

他の回答も見る

Qドメインコントローラの同期を取るには？

サーバー管理をしている者ですが、困ったことが起きているので経験者の方がおられましたら、教えて下さい。

ActiveDirectoryのPDCサーバーにHW障害が発生し、部品交換をした後に、ADのアクセス権が正しく設定できなくなってしまったり、ログインができなくなったりする現象が起きています。

DCDIAGやREPADMINなどのコマンドで調べると、PDCとBDCの同期が取れてないことが判りました。
PDCは正常のようですが、BDCにログインしている時にドメイン情報がうまく取れないようです。

方法として、ネットで調べると様...続きを読む

Aベストアンサー

dcdiagの結果を見るとセキュリティチャンネルが破損しているためにレプリケーションが出来ない状態のように見えます。

一応ここが参考になるかもしれません。
http://support.microsoft.com/kb/288167/ja

ただ、載せて頂いたdcdiagの結果は全てでは無いとのことですので、他にも問題を抱えているかしれません。
そのため、BBBを降格する方向の方が良いと思います。（つまり、2の手順）
ただ、OSがWindows Server 2003 R2ということですのでWindows Server 2008以降で追加されたdcpromo /forceremovalは使用でき...続きを読む

他の回答も見る

QNTP の TCPポートは？

NTPは123/UDPでようは足りると思うのですが、
WELL KNOWN PORTとかいろいろな資料に「123/TCP」ポートが割当たってます。
ntpd,ntpdate等でNTPを使う場合、実際には123/TCPは使われているのでしょうか？

Aベストアンサー

RFC1305では「ntpには123/udpを割り当てる」となっていますが、RFC1700では「123 ntp」となっており、「123/udp」と明示されているわけではありません。
よって、「123/tcp ntp」が間違っている（または使えない）という明確な根拠にはなりません。

「現状では『123/tcp ntp』を実装するための定義が存在しない」程度に考えた方が良いと思います。

ただ、将来的にRFC2030のSNTPが（IPv6対応などの点で）主流になる可能性があるので、「123/tcp ntp」は定義されない可能性もあります。

他の回答も見る

QDirコマンドでフォルダ内ファイルの合計サイズをだすには？(コマンドプロンプトにて)

いろいろ調べましたが不明な点があり、質問します。

WindowsのDOSプロンプトでdirコマンドを打つとフォルダ・ファイルの一覧が表示されますが、その中にファイルサイズが表示されています。
このサイズを合計できるコマンドはありませんか？
DIRコマンドのオプションを調べましたがそれらしいものが見当たりません。
具体的には
C:\xxx\配下に50個程度のファイルがあります。
その50個の合計サイズを知りたいです。
xxxフォルダの親フォルダにはアクセス不可です。

ずーっと悩んでいます。よろしくお願いします。

なお、OSはWindowsNTか2000で使用予定です。

Aベストアンサー

カレントドライブ、カレントフォルダを
C:\xxx\
にした状態で、

dir /s /a-d

/sパラメータででサブディレクトリすべてを検索
/a-dパラメータでディレクトリ以外のファイル（つまり属性に関係なくすべてのファイル

これを実行すると最後にファイルの個数とファイルサイズの合計を表示します。

もし、隠し属性のファイルは合計しないのであれば、

dir /s

だけで良いと思われます。

他の回答も見る

Qログオン要求できるログオンサーバはありません

サーバに接続しようとすると

「ログオン要求できるログオンサーバはありません」というポップアップメッセージが表示され

接続できません

pingは通るのですが・・。

このような現象の解決方法をご存知だったら教えてください。

Aベストアンサー

どの時点で出るのか不明なので、Windowsのドメイン認証絡みとして回答しますね。

使っているPCのマシンアカウント又は、ユーザ名がドメインに登録されていない、もしくはドメインコントローラがダウンしている。
と思われます。

ちなみに、相手側がドメイン認証されていない場合も同じ現象がでます。

他の回答も見る

QAdministratorsとDomain Adminsの違い

ドメイン上のAdministratorsとDomain Adminsのグループの違いをそれぞれ教えて下さい。

権限など違いがわかりません。
どのような用途でそれぞれ使いわけるのでしょうか？

よろしくお願いします。

Aベストアンサー

<Administrators>
ローカル管理者グループ
そのマシンの管理を行う目的のグループ
そのサーバ OS に最初から用意されているグループ
AD 環境においては意味なしと言える。（と思う）

<Domain Admins>
ドメイン管理者グループ
その Domain の全てを管理する目的のグループ
Active Directory 構成にした時に用意されるグループ

Active Directory 環境上では DC の Administrator ユーザーは DC 内の Administrators にも、AD の Domain Admins にも所属しているためややこしく感じるが、Administrators は無視しても構わない。（と思う）
なぜなら Domain Admins に所属していれば自動的にローカルの Administrators にも所属しているから。
仮に個人名をつけた "admin-hoge" というユーザーを AD 上に作成し、これを Domain Admins に所属させたとしても、やはり自動的に DC 上の Administorators に所属するため、Administrators グループは意味を持たなくなる。

AD に所属するクライアント上で言えば、
クライアントローカルの Administrators グループはそのクライアントの管理権限しか持たず、他のクライアントの管理権限は持たない。
ただし AD に所属している以上、クライアントローカルの Administrators グループには Domain Admins グループも含まれるため、Domain Admins に含まれるユーザーはその AD に所属するすべてのクライアント上で管理権限を持つことになる。

じゃぁクライアントでも Administrators グループは無用なものなのかというとそうではない。

「個人に貸与したクライアントは、その個人にもクライアントの管理権限を与える」というルールで運用するならば（一般従業員には推奨できるものではないが）、PC-A のローカル Administrators グループに AD 上の hoge ユーザーを加えることで、 hoge さんは PC-A の管理権限を持たせられる。（他の PC の管理権限は持たない）

AD 上の hoge ユーザーを Domain Admins に所属させれば、hoge さんは AD 上の全ての PC で管理権限を持つ。

また、PC-A のローカルに admin-hoge というユーザーを作り、それを PC-A の Administrators に所属させれば、PC-A にしかログインできない管理権限ユーザーということになる。