Active Directory の設計をする中でドメインのグループポリシーは顧客環境や運用要件が如実に反映されるということもあり、大変な思いをしている方も多いのではないでしょうか。
私もGPO設計をする上で実機を見ながら検討したりしますが、パラメーターを見たいのにすぐに実機を用意できないことも多いですよね。
そんな Active Directory ドメインのグループポリシーの基礎となる Default Domain Policy の設定と内容について調べてまとめてみました。
デフォルトドメインポリシーとは
デフォルトドメインポリシーとは、Active Directory ドメインを構成すると既定で構成されるドメインに所属するユーザーとコンピューターすべてに適用されるポリシー定義となります。
このデフォルトドメインポリシーに定義されているのは、ドメイン管理で必須となるアカウントポリシーのパスワードポリシーとドメイン認証に利用される Kerberos ポリシーとなります。
パスワードのポリシーの一覧と設定
デフォルトドメインポリシーにて、既定で定義されるパスワードポリシーには、以下のものがあります。
ポリシー | 内容 |
パスワードの長さ | ログオンパスワードの最小文字数 |
パスワードの変更禁止期間 | 指定した日数が経過するまではパスワードの変更を禁止する |
パスワードの有効期限 | 指定した有効期限を過ぎた場合、強制的にパスワード変更を要求する |
パスワードの履歴を記録する | 過去に使用したパスワードを記録し、指定した回数を超えるまでは再利用を禁止する |
パスワードは要求する複雑さを満たす | パスワードに数字/記号/大文字/小文字の中から3種類を含むパスワードの設定を強制する |
暗号化を元に戻せる状態で パスワードを保存する |
OSがパスワードの暗号化を戻せる状態で保存を許可するかというセキュリティ設定 |
アカウントのロックアウト のしきい値 |
パスワードの入力を間違えた際にロックを行う回数 ※0はロックしない |
※アカウントポリシーは、ドメインに対してのみ適用されるポリシーとなります。
Kerberosのポリシーの一覧と設定
Kerberos ポリシーには、以下のものがあります。こちらは、ドメインに認証して一度 Kerberos チケットを受け取ってからどれくらいの期間有効とするのかといったような設定がなされています。
特殊な要件がない限り、通常は変更することは少ないです。
デフォルトドメインポリシーにおける注意事項
デフォルトドメインポリシーでは、既定ではユーザーポリシーは構成されていません。
また、管理を行っていく上での注意として、ユーザー/コンピューターに対して別のポリシーを定義する必要がある場合は、デフォルトドメインポリシーの GPO に対して追加設定は行わないようにすることが望ましいです。
※デフォルトドメインポリシーでは、パスワードポリシーと Kerberos ポリシーのみ定義した形で運用します。
デフォルトドメインポリシーはドメイン全体のセキュリティに関わるポリシー定義となるため、誤った操作を行ってしまうリスクは避けるべきです。
新たにポリシーを定義する場合は、新たにグループポリシーオブジェクトを作成し、そちらで設定を行うようにしましょう。