そのまま変更しなかった場合、どうなるのでしょうか。 ユーザ管理を出来るだけ自動化させたいと思っております。 パスワード期限を「日時」で決め打ち指定することはできません。pwdLastSetという「パスワード変更日時」を起点として、有効期間を上乗せすることで、計算によりパスワード期限は管理されているため、時刻を直接代入する意味がないためです。 ュ同期を実装する), Implement password hash synchronization with Azure AD Connect sync, 以前のバージョンのドキュメント. 以下FAQの内容を実行することにより、AzurePortalにログインするアカウントのパスワード有効期限を無期限にすることが可能です。 Azure AD に登録されているユーザーのパスワードを無期限に変更することは可能ですか? AzurePortalにログインするアカウント、 1、スタート⇒Windows管理ツール⇒コンピュータの管理を選択。 2、システムツール⇒ローカルユーザとグループ⇒ユーザを選択し、変更したいユーザを選択した状態で右クリック⇒プロパティを選択。 WindowsのActive Directory(以下AD)環境で、突然、「パスワードの有効期限が切れる」というダイアログが出力され、慌てたことはありませんか。この現象は、Active Directoryのセキュリティ機能であるグループポリシーに含まれる"Default Domain Policy"にパスワードの有効期限を設定する項目があり、デフォルトでパスワードの有効期限が42日間に設定されているためです。この警告が出た後に、パスワードの変更を行わずに使用していると、42日後に以前のパスワードではログインが出来なくなります。(Administratorユーザーだと、困りものですよね。), 2019年にMicrosoftは、ユーザーに定期的に自分のログインパスワードを変更することを要求するWindowsのポリシーを廃止することを提案しています。, 2つの設定は、運用している環境によってどちらかを選択するような運用になりますので、本記事では、この2つの設定について紹介していきます。警告が出力されて慌てる前に、是非、ご確認下さい。, 設定している環境はWindows Server 2016になりますが、本記事の内容はWindows Server2008やWindows Server2012(R2を含む)でも同じように設定を行うことができます。, パスワードの有効期限を回避するための設定ですが、一つ目は「ActiveDirectoryユーザーとコンピュータ」コンソールから各アカウントの項目に対して設定を行う方法です。本章ではユーザーアカウント側で設定を変更するための手順を紹介します。, Windows Serverへログインして、ユーザーアカウントを管理するためのツール「Active Directory ユーザーとコンピューター」を起動します。「Windowsメニュー」「Windows管理ツール」「Active Directory ユーザーとコンピューター」を選択します。, 「Active Directory ユーザーとコンピューター」から設定を変更したいユーザーアカウントを選択します。本記事の環境では「ドメイン名」「Users」以下にある"rem-test"アカウントを選択しています。, 有効期限を無効に変更したいユーザーアカウントを右クリックして「プロパティ」からプロパティを表示させ、「アカウント」タブ内にある「アカウント オプション」から「パスワードを無期限にする」項目にチェックを入れると、設定したユーザーアカウントのパスワードが無期限に設定されます。, この「パスワードを無期限にする」にチェックを入れた場合、項目2. の手順で説明するグループポリシーより先に有効化されます。, 複数のユーザーアカウントに同様の設定を行うことも可能です。 以下のようにCTRLキーを押しながらユーザーアカウントを選択することで、複数のユーザーアカウントを選択することができます。, 複数のアカウントが選択された状態で、「プロパティ」をクリックすると、複数のアカウントを設定変更するためのプロパティ画面が表示されます。, 「アカウント」タブをクリックして「アカウント オプション」から「パスワードを無期限にする」にチェックを入れることで、複数アカウントを一括で変更することができます。チェック欄は二つありますので、両方にチェックを入れます。 「OK」をクリックすることで選択されたユーザーアカウントの設定が変更されます。, ユーザーアカウント側での設定による、回避方法はアカウントが追加されると同様の操作が都度、必要となりますので運用の手間が掛かります。その為アカウントの追加や変更する頻度が少な目のスモールビジネス環境にお勧めの回避方法になります。 アカウントの追加や変更といった作業が頻繁に発生する環境では、次項で説明する「グループポリシーを利用しての回避」を利用することをお勧めします。, もう一つはActive Directoryの機能であるグループポリシーを利用する方法です。 この回避方法は、ドメインのアカウント全体が適用範囲となりますので、個々に設定する必要がなく、アカウント追加時にも自動的に適用されます。, Windows Serverへログインして、グループポリシーを管理するためのツール「グループポリシーの管理」を起動します。「Windowsメニュー」「Windows管理ツール」「グループポリシーの管理」を選択します。, ドメイン全体のパスワードを管理するためのポリシーは「Default Domain Policy」に含まれています。「グループポリシーの管理」ツールから「フォレスト」「ドメイン」「ドメイン名」と展開すると「Default Domain Policy」が表示されます。, 「Default Domain Policy」を選択し、右クリックしてサブメニューから「編集」を選択します。, 「コンピューターの構成」「ポリシー」「Windowsの設定」「セキュリティの設定」「パスワードのポリシー」の順に展開します。, 「パスワードの有効期間」ポリシーを選択して、デフォルトで42日となっている設定を0に変更します, 設定変更後、保存することでパスワードの有効期限を42日から無期限に変更ができます。, 項目2.で紹介した”Default Domain Policy”でのパスワードポリシー変更以外に、新規にグループポリシーを作成する形でも運用が出来そうに思えますが、実はパスワードのポリシーについては、1ドメインで1つしか適用できません。その為、本記事ではDefault Domain Policyを変更する手順を記載しております。 ※Windows Server 2008 からはPassword Setting Object(PSO)という機能を利用して複数のパスワードポリシーを適用することができるようになっています。PSOについてはWindows Server 2016での記事になりますが. [解決方法が見つかりました!] これは、次の2つのアプローチで解決できます。 1. アカウントのプロパティ画面(図3)で[パスワードを無期限にする]が有効になっているユーザーは特例的に,ドメインのグループ・ポリシーやローカルのセキュリティ・ポリシーで[パスワードの有効期限]が設定されていても,パスワードの変更を強制されません。