パスワードポリシーオブジェクト
Windows Server 2008移行のActiveDirectoryでは、ドメインにに複数のパスワードポリシーとアカウントロックアウトポリシーを設定できるようになりました。
基礎となるパスワードポリシーは、DefaultDomainPolicyのグループポリシーにて、管理されています。
上記のようにグループポリシーでパスワードポリシーを管理しなくても、パスワードポリシーオブジェクトを個別にユーザー、グループへ直接適用することができるため、
セキュリティ設定に引っ張られることなく、ディレクトリを構成することができます。
パスワード設定オブジェクトを作成
サーバーマネージャーから、[ツール]-[ActiveDirectory 管理センター]を選択
ツリービュータブを選択し、[ドメイン名]-[System]-[Passowrd Settings Container]を選択
[タスク]-[新規]-[パスワードの設定]
以下のように設定し、[直接の適用先]-[追加]を選択する
適用したい、ユーザーオブジェクト、グループオブジェクトを入力し、[名前の確認]を選択する
追加したグループが[直接の適用先]欄にエントリーされる
動作確認
「P@ssw0rd」でリセットをかけてみると
このように、パスワードポリシーを満たしていない旨のメッセージが表示される
