ADのコンピュータアカウントの有効期間について

Active Directory(以下、AD)のコンピュータアカウントのパスワードの有効期間についてです。

１．なぜコンピュータアカウントに有効期間が必要なのか
２．コンピュータアカウントの有効期間の設定を無効にした際にどんなリスクがあるのか


ADのコンピュータアカウントには有効期間がデフォルトで30日と設定されていますが、30日以上経過した後でも問題なく認証が完了してしまいます。（60日以上でも同様です）

これは、コンピュータ側とドメインコントローラ側が持つコンピュータアカウントの情報が変わらないから認証に成功してしまうということでした。

これはMicrosoftにとって正常な動作なのでしょうが、
有効期間の意味が無いように感じます。

No.1 ベストアンサー 回答者： maesen 回答日時： 2012/11/05 11:38

１．なぜコンピュータアカウントに有効期間が必要なのか

パスワードは同じものを使い続けると解読されるリスクが高くなることは理解されていると思います。
そのため、定期的な更新をしましょうということです。

これは、ユーザーアカウント、さらにはADに限らず同じことで定期的にパスワードを変更しましょうという運用にすると思います。

２．コンピュータアカウントの有効期間の設定を無効にした際にどんなリスクがあるのか
上記のパスワード解読のリスク。
古いバックアップなどが盗難されたなどありましたら、このバックアップが使用され、コンピュータがなりすましにあう可能性のリスクがあると思います。

＞ADのコンピュータアカウントには有効期間がデフォルトで30日と設定されていますが、30日以上経過した後でも問題なく認証が完了してしまいます。（60日以上でも同様です）
パスワードの変更にはドメインコントローラ（以下、DC）とクライアント（以下、PC）間でネゴエーションして変更を行います。
従って30日以上経過しても、PCを立ち上げてDCと通信していなければ、DCとPCで持っているパスワードは同じものです。

ここでPCを起動すると30日以上経過しているため、起動後早い段階でネゴエーションしパスワードを変更する動作になります。

ユーザーでも同じですよね。
パスワード有効期限が10日のユーザーを50日間使用せずその後ログオンした場合、前のパスワードでログオンして、新しいパスワードへの変更が強制される動作になると思います。

＞これは、コンピュータ側とドメインコントローラ側が持つコンピュータアカウントの情報が変わらないから認証に成功してしまうということでした。

そうですね。正規のコンピュータですから。
上で説明したようにパスワードが同じだからということです。
これが、同じコンピュータ名の偽装されたPCならばパスワードが一致することは無いのでセキュアチャネルが確立できないのでDC-PC間の通信が出来ないことになります。

＞有効期間の意味が無いように感じます。

パスワードの定期的な変更に意味が無いと考えればその通りですが、リスク軽減としては基本的なことだと思います。

この回答へのお礼

迅速で的確な回答をいただき、ありがとうございます。

一般的なパスワード変更の流れを想定することで、より理解も深まりました。
やはり無効化してしまうとそれだけセキュリティが疎かになるんですね…

ありがとうございました。

お礼日時：2012/11/05 20:08