ジメジメする梅雨のお悩み、一挙解決! >>

Active Directory(以下、AD)のコンピュータアカウントのパスワードの有効期間についてです。

1.なぜコンピュータアカウントに有効期間が必要なのか
2.コンピュータアカウントの有効期間の設定を無効にした際にどんなリスクがあるのか


ADのコンピュータアカウントには有効期間がデフォルトで30日と設定されていますが、30日以上経過した後でも問題なく認証が完了してしまいます。(60日以上でも同様です)

これは、コンピュータ側とドメインコントローラ側が持つコンピュータアカウントの情報が変わらないから認証に成功してしまうということでした。

これはMicrosoftにとって正常な動作なのでしょうが、
有効期間の意味が無いように感じます。

このQ&Aに関連する最新のQ&A

A 回答 (1件)

1.なぜコンピュータアカウントに有効期間が必要なのか



パスワードは同じものを使い続けると解読されるリスクが高くなることは理解されていると思います。
そのため、定期的な更新をしましょうということです。

これは、ユーザーアカウント、さらにはADに限らず同じことで定期的にパスワードを変更しましょうという運用にすると思います。

2.コンピュータアカウントの有効期間の設定を無効にした際にどんなリスクがあるのか
上記のパスワード解読のリスク。
古いバックアップなどが盗難されたなどありましたら、このバックアップが使用され、コンピュータがなりすましにあう可能性のリスクがあると思います。

>ADのコンピュータアカウントには有効期間がデフォルトで30日と設定されていますが、30日以上経過した後でも問題なく認証が完了してしまいます。(60日以上でも同様です)
パスワードの変更にはドメインコントローラ(以下、DC)とクライアント(以下、PC)間でネゴエーションして変更を行います。
従って30日以上経過しても、PCを立ち上げてDCと通信していなければ、DCとPCで持っているパスワードは同じものです。

ここでPCを起動すると30日以上経過しているため、起動後早い段階でネゴエーションしパスワードを変更する動作になります。

ユーザーでも同じですよね。
パスワード有効期限が10日のユーザーを50日間使用せずその後ログオンした場合、前のパスワードでログオンして、新しいパスワードへの変更が強制される動作になると思います。

>これは、コンピュータ側とドメインコントローラ側が持つコンピュータアカウントの情報が変わらないから認証に成功してしまうということでした。

そうですね。正規のコンピュータですから。
上で説明したようにパスワードが同じだからということです。
これが、同じコンピュータ名の偽装されたPCならばパスワードが一致することは無いのでセキュアチャネルが確立できないのでDC-PC間の通信が出来ないことになります。

>有効期間の意味が無いように感じます。

パスワードの定期的な変更に意味が無いと考えればその通りですが、リスク軽減としては基本的なことだと思います。
    • good
    • 0
この回答へのお礼

迅速で的確な回答をいただき、ありがとうございます。

一般的なパスワード変更の流れを想定することで、より理解も深まりました。
やはり無効化してしまうとそれだけセキュリティが疎かになるんですね…

ありがとうございました。

お礼日時:2012/11/05 20:08

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人はこんなQ&Aも見ています

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QDomainAdminsとAdministratorsの違い

domain環境におけるDomainAdminsとAdministratorsの違いは
何でしょうか?下記Microsoftのサイトで確認しましたが、同じに思えます。
http://technet2.microsoft.com/WindowsServer/ja/library/1631acad-ef34-4f77-9c2e-94a62f8846cf1041.mspx?mfr=true
相違点を教えて下さい。

Aベストアンサー

例として,次のようなWindowsPC群があるとします。
  2台のドメインコントローラ…DC1とDC2
  ワークグループ状態の4台のPC…WS1,WS2,WS3,WS4
個々のPCには,各々のPC1台だけを管理するグループとしてAdministratorsが存在します(注:DC1,DC2は複製なので合わせて1台扱いです)。
WS1~WS4をドメインに参加させると,ActiveDirectory上のDomain Adminsグループが,WS1~WS4の各Administratorsグループのメンバとして追加されます。

上記については質問者が示したWebページで説明されています。同ページの本文3行目にあるHyperLink先「既定のローカル グループ」の記述と併せて,該当箇所を抜き書きしてみました。

●(ドメインコントローラ上の)Administrators
このグループのメンバは、【ドメイン内のすべてのドメイン コントローラ】に対するフル コントロールを持ちます。

●(ドメインコントローラ上の)Domain Admins
このグループのメンバは、【ドメイン】に対するフル コントロールを持ちます。既定では、ドメイン コントローラ、ドメインのワークステーション、およびドメインのメンバ サーバーがドメインに参加したとき、このグループは、これらのすべてで Administrators グループのメンバになります。

●(ローカルコンピュータ上の)Administrators
このグループのメンバは、サーバーのフル コントロールの権限があり……このサーバーをドメインに参加させると、Domain Admins グループがこのグループに自動的に追加されます。

例として,次のようなWindowsPC群があるとします。
  2台のドメインコントローラ…DC1とDC2
  ワークグループ状態の4台のPC…WS1,WS2,WS3,WS4
個々のPCには,各々のPC1台だけを管理するグループとしてAdministratorsが存在します(注:DC1,DC2は複製なので合わせて1台扱いです)。
WS1~WS4をドメインに参加させると,ActiveDirectory上のDomain Adminsグループが,WS1~WS4の各Administratorsグループのメンバとして追加されます。

上記については質問者が示したWebページで説明されています。同ペ...続きを読む

Qポートの80と443

こちらのサービス(https://secure.logmein.com/)を利用すると、インターネットを見られるサーバーのポートの80と443が空いていればルータやファイアウォールに特段の設定なく外部からサーバーを操作できるそうですが、逆にサーバーのポートの80や443を空けることには何か危険性があるのでしょうか。

Aベストアンサー

ポート80は一般的なHTTP、ポート443はHTTPSです。
この2つのポートがあいていなければインターネット接続(WEBブラウジング)は出来ません。
ですから、ほとんどのファイアウォールでこのポートは開いています。(インターネット接続を制限している社内LANでは当然閉じていますが)

ちなみに、よく使うポートとしてはFTPで20、21、SMTP(送信メール)で25、受信メールPOP3で110あたりです。セキュリティポリシー上、この辺は制限される事も多いですが、HTTP 80、HTTPS(暗号化用)443は通常閉じません。


危険性?
WEBプロトコルを使ってFTP的なファイル転送(WebDAV)やVPN等も出来るようになっています。当然そこにはある種の危険はつきものですが、WEBブラウジングに伴う危険と大きく変わりません。ウィルス等に感染していればこの2つのポートだけでも相当危険でしょうね。

参考まで。

Qドメインの一般ユーザーにローカルの管理者権限を付与したい

ドメインの一般ユーザーにローカルコンピューターの管理者権限を付与する方法を教えてください。ドメイン管理者のパスワードは知っています。

Aベストアンサー

Windows XPと仮定して。
1.ローカルコンピューターにドメイン管理者のアカウントでログオン。
2.「マイコンピュータ」を右クリック⇒「管理」
3.「コンピュータの管理」画面⇒「システムツール」⇒「ローカルユーザーとグループ」⇒「グループ」
4.「Administrators」を右クリック⇒「グループに追加」
5.ドメインの特定のユーザー(あるいは、Domain Users)を追加
でできるはずです。

Qドメイン再参加時に、エラー:アクセスが拒否されました。

---------------------------
コンピューター名/ドメイン名の変更
---------------------------
参加の操作を正しく完了できませんでした。
これは、既存の "PC名" という名前のコンピューター アカウントが以前、別の資格情報で作成された可能性があります。
別のコンピューター名を使うか、管理者に連絡して、競合を発生している無効なアカウントを削除してもらってください。

エラー:アクセスが拒否されました。
---------------------------
OK
---------------------------

ドメイン再参加時に上記エラーメッセージが表示されます。

ADサーバ上にコンピューターオブジェクトが残っているのが原因かと思いますが、
ADサーバ上からコンピューターオブジェクトを削除し、ドメイン参加した場合、
パソコン内の個人用フォルダ(C:\Users\ドメインユーザー名のフォルダ)は削除・再作成されますか?

それともパソコン内の個人用フォルダを元に、コンピューターオブジェクトが作成されますか?


よろしくお願いします。

---------------------------
コンピューター名/ドメイン名の変更
---------------------------
参加の操作を正しく完了できませんでした。
これは、既存の "PC名" という名前のコンピューター アカウントが以前、別の資格情報で作成された可能性があります。
別のコンピューター名を使うか、管理者に連絡して、競合を発生している無効なアカウントを削除してもらってください。

エラー:アクセスが拒否されました。
---------------------------
OK
---------------------------

ドメイン再参加...続きを読む

Aベストアンサー

> パソコン内の個人用フォルダ(C:\Users\ドメインユーザー名のフォルダ)は削除・再作成されますか?

削除も再作成もされず、そのまま残ります。

ワークグループで使用している PC に、その PC のローカルに作成したアカウントでログオンしているのでしょうかね。
この PC を Active Directory に参加させたとします。
AD 参加後、従来と同様に PC のローカルに作成されているユーザー アカウントでログオンした場合は以前の環境を引き続き使用できます。

AD 参加後、AD で管理されているユーザー アカウントでログオンした場合は新規にユーザー プロファイルが作成されます。
(その AD のユーザー アカウントで今まで一度もこの PC にログオンしたことが無い場合は)

AD で管理されているユーザー アカウントの名前が偶然にもローカルで使っていたユーザー アカウントの名前と同じだった場合も新規にユーザー プロファイルが作成されます。
ユーザー アカウントの名前が同じでも別のアカウントとして識別されるからです。

AD 参加後は AD のユーザー アカウントで日常的なログオンをするのであれば、今まで使っていたユーザー アカウント用のユーザー プロファイルから必要な物を引っ越してくる必要があります。

> パソコン内の個人用フォルダ(C:\Users\ドメインユーザー名のフォルダ)は削除・再作成されますか?

削除も再作成もされず、そのまま残ります。

ワークグループで使用している PC に、その PC のローカルに作成したアカウントでログオンしているのでしょうかね。
この PC を Active Directory に参加させたとします。
AD 参加後、従来と同様に PC のローカルに作成されているユーザー アカウントでログオンした場合は以前の環境を引き続き使用できます。

AD 参加後、AD で管理されているユーザー ア...続きを読む

Qドメインコントローラの同期を取るには?

サーバー管理をしている者ですが、困ったことが起きているので経験者の方がおられましたら、教えて下さい。

ActiveDirectoryのPDCサーバーにHW障害が発生し、部品交換をした後に、ADのアクセス権が正しく設定できなくなってしまったり、ログインができなくなったりする現象が起きています。

DCDIAGやREPADMINなどのコマンドで調べると、PDCとBDCの同期が取れてないことが判りました。
PDCは正常のようですが、BDCにログインしている時にドメイン情報がうまく取れないようです。

方法として、ネットで調べると様々なことが書いてあり、
1.BDC側でレプリケーションのサービスを止めて、再起動すればOKだとか、
 net stop ntfrs
 rd /s /q c:\windows\ntfrs\jet
 net start ntfrs
2.BDCを一旦、普通のサーバーに降格させて再度PDCにするとか、
 dcpromo /forceremoval
 ドメインからの解除
 ntdsutil
書いてあるのですが、いずれも再起不能になってしまうのが恐ろしくて実施に至ってません。
単純に考えると、1の手段のほうが万が一のダメージの場合も影響が少ないような気がします。

起因がHW交換に伴うものなので、担当したCEの責任を追及しているのですが、CE部隊ではこうしたSE作業が出来るメンバーが居ないらしくなかなか動いてくれません。
HWとSWの狭間というか、こうした問題は保守契約作業の範疇に入らないのも変な気がします。

簡単に解決できるものなら行いたいのですが、そうした問題なんでしょうか?
経験者の方がおられましたらアドバイス頂けたら有難いです。

サーバー管理をしている者ですが、困ったことが起きているので経験者の方がおられましたら、教えて下さい。

ActiveDirectoryのPDCサーバーにHW障害が発生し、部品交換をした後に、ADのアクセス権が正しく設定できなくなってしまったり、ログインができなくなったりする現象が起きています。

DCDIAGやREPADMINなどのコマンドで調べると、PDCとBDCの同期が取れてないことが判りました。
PDCは正常のようですが、BDCにログインしている時にドメイン情報がうまく取れないようです。

方法として、ネットで調べると様...続きを読む

Aベストアンサー

dcdiagの結果を見るとセキュリティチャンネルが破損しているためにレプリケーションが出来ない状態のように見えます。

一応ここが参考になるかもしれません。
http://support.microsoft.com/kb/288167/ja

ただ、載せて頂いたdcdiagの結果は全てでは無いとのことですので、他にも問題を抱えているかしれません。
そのため、BBBを降格する方向の方が良いと思います。(つまり、2の手順)
ただ、OSがWindows Server 2003 R2ということですのでWindows Server 2008以降で追加されたdcpromo /forceremovalは使用できません。
こちらの手順を実施することになります。
http://support.microsoft.com/kb/216498/ja

なお、上記のWebサイトに書かれている方法でADからBBBの情報を削除してもBBBは壊れたDCのままですのでBBBはOS再インストールするほうがいいでしょう。

DCの強制的な降格はもう何十回と実施していますが、特にトラブルが発生したことはありません。
手順をきちんとして作業すれば問題無いと思います。

dcdiagの結果を見るとセキュリティチャンネルが破損しているためにレプリケーションが出来ない状態のように見えます。

一応ここが参考になるかもしれません。
http://support.microsoft.com/kb/288167/ja

ただ、載せて頂いたdcdiagの結果は全てでは無いとのことですので、他にも問題を抱えているかしれません。
そのため、BBBを降格する方向の方が良いと思います。(つまり、2の手順)
ただ、OSがWindows Server 2003 R2ということですのでWindows Server 2008以降で追加されたdcpromo /forceremovalは使用でき...続きを読む

QNTP の TCPポートは?

NTPは123/UDPでようは足りると思うのですが、
WELL KNOWN PORTとかいろいろな資料に「123/TCP」ポートが割当たってます。
ntpd,ntpdate等でNTPを使う場合、実際には123/TCPは使われているのでしょうか?

Aベストアンサー

RFC1305では「ntpには123/udpを割り当てる」となっていますが、RFC1700では「123 ntp」となっており、「123/udp」と明示されているわけではありません。
よって、「123/tcp ntp」が間違っている(または使えない)という明確な根拠にはなりません。

「現状では『123/tcp ntp』を実装するための定義が存在しない」程度に考えた方が良いと思います。

ただ、将来的にRFC2030のSNTPが(IPv6対応などの点で)主流になる可能性があるので、「123/tcp ntp」は定義されない可能性もあります。

QDirコマンドでフォルダ内ファイルの合計サイズをだすには?(コマンドプロンプトにて)

いろいろ調べましたが不明な点があり、質問します。

WindowsのDOSプロンプトでdirコマンドを打つとフォルダ・ファイルの一覧が表示されますが、その中にファイルサイズが表示されています。
このサイズを合計できるコマンドはありませんか?
DIRコマンドのオプションを調べましたがそれらしいものが見当たりません。
具体的には
C:\xxx\配下に50個程度のファイルがあります。
その50個の合計サイズを知りたいです。
xxxフォルダの親フォルダにはアクセス不可です。

ずーっと悩んでいます。よろしくお願いします。

なお、OSはWindowsNTか2000で使用予定です。

Aベストアンサー

カレントドライブ、カレントフォルダを
C:\xxx\
にした状態で、

dir /s /a-d

/sパラメータででサブディレクトリすべてを検索
/a-dパラメータでディレクトリ以外のファイル(つまり属性に関係なくすべてのファイル

これを実行すると最後にファイルの個数とファイルサイズの合計を表示します。

もし、隠し属性のファイルは合計しないのであれば、

dir /s

だけで良いと思われます。

Qログオン要求できるログオンサーバはありません

サーバに接続しようとすると

「ログオン要求できるログオンサーバはありません」というポップアップメッセージが表示され

接続できません

pingは通るのですが・・。

このような現象の解決方法をご存知だったら教えてください。

Aベストアンサー

どの時点で出るのか不明なので、Windowsのドメイン認証絡みとして回答しますね。

使っているPCのマシンアカウント又は、ユーザ名がドメインに登録されていない、もしくはドメインコントローラがダウンしている。
と思われます。

ちなみに、相手側がドメイン認証されていない場合も同じ現象がでます。

QAdministratorsとDomain Adminsの違い

ドメイン上のAdministratorsとDomain Adminsのグループの違いをそれぞれ教えて下さい。

権限など違いがわかりません。
どのような用途でそれぞれ使いわけるのでしょうか?

よろしくお願いします。

Aベストアンサー

<Administrators>
ローカル管理者グループ
そのマシンの管理を行う目的のグループ
そのサーバ OS に最初から用意されているグループ
AD 環境においては意味なしと言える。(と思う)

<Domain Admins>
ドメイン管理者グループ
その Domain の全てを管理する目的のグループ
Active Directory 構成にした時に用意されるグループ

Active Directory 環境上では DC の Administrator ユーザーは DC 内の Administrators にも、AD の Domain Admins にも所属しているためややこしく感じるが、Administrators は無視しても構わない。(と思う)
なぜなら Domain Admins に所属していれば自動的にローカルの Administrators にも所属しているから。
仮に個人名をつけた "admin-hoge" というユーザーを AD 上に作成し、これを Domain Admins に所属させたとしても、やはり自動的に DC 上の Administorators に所属するため、Administrators グループは意味を持たなくなる。

AD に所属するクライアント上で言えば、
クライアント ローカルの Administrators グループはそのクライアントの管理権限しか持たず、他のクライアントの管理権限は持たない。
ただし AD に所属している以上、クライアント ローカルの Administrators グループには Domain Admins グループも含まれるため、Domain Admins に含まれるユーザーはその AD に所属するすべてのクライアント上で管理権限を持つことになる。


じゃぁクライアントでも Administrators グループは無用なものなのかというとそうではない。

「個人に貸与したクライアントは、その個人にもクライアントの管理権限を与える」 というルールで運用するならば(一般従業員には推奨できるものではないが)、PC-A のローカル Administrators グループに AD 上の hoge ユーザーを加えることで、 hoge さんは PC-A の管理権限を持たせられる。(他の PC の管理権限は持たない)

AD 上の hoge ユーザーを Domain Admins に所属させれば、hoge さんは AD 上の全ての PC で管理権限を持つ。

また、PC-A のローカルに admin-hoge というユーザーを作り、それを PC-A の Administrators に所属させれば、PC-A にしかログインできない管理権限ユーザーということになる。

<Administrators>
ローカル管理者グループ
そのマシンの管理を行う目的のグループ
そのサーバ OS に最初から用意されているグループ
AD 環境においては意味なしと言える。(と思う)

<Domain Admins>
ドメイン管理者グループ
その Domain の全てを管理する目的のグループ
Active Directory 構成にした時に用意されるグループ

Active Directory 環境上では DC の Administrator ユーザーは DC 内の Administrators にも、AD の Domain Admins にも所属しているためややこしく感じるが、Administrators...続きを読む

Q「いずれか」と「いづれか」どっちが正しい!?

教えて下さいっ!
”どちらか”と言う意味の「いずれか」のかな表記として
「いずれか」と「いづれか」のどちらが正しいのでしょう???

私は「いずれか」だと思うんですが、辞書に「いずれか・いづ--。」と書いてあり、???になってしまいました。
どちらでもいいってことでしょうか?

Aベストアンサー

「いずれか」が正しいです.
「いづれ」は「いずれ」の歴史的かな遣いですので,昔は「いづれ」が使われていましたが,現代では「いずれ」で統一することになっていますので,「いずれ」が正しいです.


このQ&Aを見た人がよく見るQ&A

人気Q&Aランキング

おすすめ情報