[Active Directory][グループポリシー] パスワードポリシーとDefault Domain Policyの関係

ドメイン環境ではDefault Domain Policyというものがもともと定義されており、規定でそのドメインに適用されています。その中ではパスワードポリシーがいくつか入っており、パスワードの複雑性が有効になっていたり、最低文字数が7に規定で設定されています。なお、パスワードポリシーは「コンピュータの構成」です。

このポリシーと重複するポリシーを自分で定義した場合、Default Domain Policyの影響を考えてみます。

グループポリシーの優先順位

グループポリシーにはコンピュータの構成とユーザの構成と2種類あるかと思います。

その適用順序として、規定ではユーザの構成のほうが優先されます。重複している項目があればユーザ構成の方に設定されたものが使用されるということですね。なお、これはポリシーによってまちまちです。

ではコンピューターの構成同士の場合はどうなるのか?

基本的に優先順位が高いほうが優先され、これはグループポリシーのプロパティ画面から確認できます。

なおグループポリシーの適用順序は以下の順です。下にいくほど優先順位が高いです。

  1. ローカルセキュリティポリシー
  2. サイト
  3. ドメイン
  4. OU

GPOの優先順位

パスワードポリシーの場合を考える

Default Domain Policyはドメインにリンクしているので、OUに別のGPOをリンクさせればそちらのほうが優先されます。

しかしパスワードポリシー(アカウントポリシー)は特別でドメインにリンクしたものしか有効になりません。

たとえばパスワードの複雑性を無効にしたポリシーを適用したOUに所属するPCで、ログオンしているドメインユーザのパスワード変更するとどうなるのでしょうか?できないはずです。

本当にドメインにリンクしたものしか有効にならないか検証

機能レベルWindows Server 2012R2のADで検証しました。

パスワードの複雑性を無効にしたポリシーが適用されたコンピューターにてログオンしているユーザのパスワードを簡単なパスワードに変更できるか試しました。

結果、パスワードの複雑性は効いていてパスワードの変更ができませんでした。

つまりDefault Domain Policyのほうが有効となりました。

ドメインのポリシーにより簡単なパスワードへの変更拒否

これはアカウントポリシーはドメインにリンクしたものしか有効にならない仕様だからです。そのためドメインで統一されたアカウントポリシーしか持つことができません。

ちなみに自分のパソコンにどんなアカウントポリシーが適用されているかは以下のコマンドでわかります。

net accounts /domain

まとめ

ポリシーによっては書いても有効にならなかったり優先順位がまちまちだったりします。特にアカウントポリシーは特別なので気をつける必要があります。合わせてGPOがどこに適用されてどこまで作用が及ぶのがイメージし、テストすることが重要です。