- エディフィストラーニング TOP
- エディラボ
- ネットワーク構築のためのヒントと技術解説
- Active Directory ドメインユーザーのアカウントポリシー
- 「ネットワーク構築のためのヒントと技術解説集」一覧へ
- 1. すべてのドメインユーザーに適用する場合(ドメインのグループポリシー)
- 2. 一部のユーザーやグループに適用する場合(FGPP)
- 3. RADIUSサーバーで認証される時だけ適用する場合(レジストリの直接変更)
●2. 一部のユーザーやグループに適用する場合(FGPP)
Windows Server 2000/2003のActive Directoryでは、ドメインユーザーのアカウントポリシーはドメイン単位でしか定義できず、同じドメインのユーザーには同じパスワードポリシーが適用されていました。
Windows Server 2008になると、「細かい設定が可能なパスワードポリシー(FGPP:Fine-Grained Password Policy)」という機能がサポートされ、ユーザーやグループに対して異なるアカウントポリシーが割り当てられるようになりました。ただし、Windows Server
2008では設定のためのわかりやすいGUIが用意されていなかったという問題がありました。Windows Server 2012では、管理ツール[Active Directory管理センター]を使って、簡単にFGPPが設定できるようになりました。
「1」のドメインのグループポリシーとFGPPを設定した場合は、FGPPのほうが優先されるため、「1」のドメインのグループポリシーでドメインユーザーに対するアカウントポリシーを定義し、例外のアカウントポリシー設定をFGPPで行うことができます。以下に、FGPPの設定方法を紹介します。
①[チャーム]バー
【1】ドメインコントローラーでAdministratorとしてサインインし、管理ツール[サーバーマネージャー]を起動します。
【2】[ツール]-[Active Directory管理センター]を選択し、Active Directory管理センターを起動します。
【3】[ドメイン名(ローカル)]-[system]-[Password Settings Container]をクリックします。
その後、[タスク]にある[新規]-[パスワードの設定]をクリックします。
【4】パスワードの設定の作成]ウインドウが表示されます。
赤い*マークが付いている項目は、入力が必須とされています。
各項目には次の意味があります。
※ ほとんどの値は、「1」のドメインのアカウントポリシーの設定と同じですが、項目名が異なっているため重複している項目ももう一度説明します。
名前 | このポリシーの名前です。 |
優先順位 | 値が小さいほど優先されます。たとえば、同じユーザーに2つのポリシーが割り当てられた場合、優先順位の値が小さい方のポリシーが優先して適用されます。 |
パスワードの最小の長さを 適用する | 最短パスワード長を指定します。 |
パスワードの履歴を記録する | 過去にユーザーが使用したパスワードの履歴を覚えておき、同じパスワードを使えないようにするため機能です。この設定をオフにすると、パスワードを定期的に変更するようにユーザーに強制しても、同じパスワードを再設定し続けることがきるようになるためセキュリティレベルが下がります。 |
パスワードは要求する 複雑さを満たす | パスワード変更時に、以下の要件を満たすパスワード以外は受け付けなくなります。
文書番号:2617632「"複雑さの要件を満たす必要がある"を有効にしてもパスワードの長さを6文字以上にする必要が無い」 |
暗号化を元に戻せる状態で パスワードを保存する | リモートアクセスなどでCHAP認証を使用する場合に選択します。 通常はこのオプションを選択する必要はありません。 |
誤って削除されないように 保護する | このオプションを有効にすると、オフにするまでこのポリシーを削除できなくなります。 |
最小パスワード有効期間を 適用する | パスワードを変更したときに、次にパスワード変更ができるようになるまでの期間です。この値を0にすると、仮に[パスワードの履歴を記録する]で過去に利用したパスワードを10個まで記憶しておき、同じパスワードを10回変更するまで再利用できないように設定しても、その場で10回以上パスワードを変更して履歴をクリアし、最終的に前日まで使用していたパスワードを設定しなおすことで常に同じパスワードを使用することをユーザーに許してしまいます。このため、[パスワードの履歴を記録する]を有効にした場合はこのオプションも0以外の値を設定しましょう。 |
最大パスワード有効期間を 適用する | パスワードを利用できる期間です。この期間を過ぎるとパスワード変更が必要になるため、ユーザーにパスワード変更を強制できます。 |
許可される失敗したログオン 試行回数 | パスワードを間違えたために、ログオンに失敗した回数の上限値を指定します。次の[失敗したログオン試行回数のカウントがリセットされるまでの時間(分)]で指定された時間内に、このオプションで設定した回数に達すると、アカウントがロックアウトされ利用できなくなります。 |
失敗したログオン試行回数の カウントがリセットされる までの時間(分) | 上の[許可される失敗したログオン試行回数]をカウントする時間です。このオプションで指定された時間が経過すると、ログオン試行回数のカウントがリセットされます。 |
アカウントはロックアウト されます | アカウントがロックアウトされた時に、どの程度ロックアウトの状態を維持するかを指定します。自動的にロックアウトを解除する場合は[期間]でロックアウトが解除されるまでにかかる時間を指定します。[管理者が手動でアカウントのロックを解除するまで]を選択すると、アカウントのロックアウトを管理者が手動で解除するまでロックアウト状態が維持されます。 |
説明 | このポリシーの説明を入力します。 |
【5】次に、ユーザーやグループを指定するため、[追加]をクリックします。
【6】[選択するオブジェクト名を入力してください:]にユーザー名やグループ名を入力し、[名前の確認]をクリックします。その後、[OK]をクリックします。
【7】[OK]をクリックします。
One Point
ロックアウトされたアカウントを解除する方法
アカウントロックアウトポリシーによってロックアウトされたアカウントは、ロックアウト期間が経過すればロックアウトは解除されます。ただし、ロックアウト期間よりも早く解除したい場合や、[管理者が手動でアカウントのロックを解除するまで]を選択した場合は、管理ツール[Active Directory管理センター]でロックアウトされたユーザーを選択し、[ロック解除]をクリックします。
< 前へ | Active Directory ドメインユーザーのアカウントポリシー | 次へ >
> ネットワーク技術のトレーニングを見る
「問題が発生したため、現在はサインインできません。」の対処法
2018年6月3日
Microsoftアカウントで「問題が発生したため、現在はサインインできません。後でやり直してください」と表示された場合の対処法
目次
- 1 状況
- 1.1 サインイン
- 2 情報・対処法
状況
Microsoftアカウントにログインすると、以下のようなエラーページが表示された。
サインイン
問題が発生したため、現在はサインインできません。後でやり直してください。
Microsoft アカウントのログイン サーバーが、認証の試行回数が多すぎることを検出しました。しばらく待ってから、もう一度お試しください。
情報・対処法
このエラーはログインに何度も失敗した場合に表示されます。
Microsoftでは、悪意あるユーザからアカウントを守るために様々なセキュリティ対策を行っていますが、今回はこのセキュリティ対策によって不正なユーザと勘違いされ、ログインを拒否されていると考えられます。
対処法としては表記の通り、時間をおいてアクセスすることで解決します。
※再ログイン可能な間隔時間はセキュリティ上の理由から公開されていません。ある程度待ってログインできない場合は、何度も試さずにもう一度それ以上の時間をあけてログインしてください。繰り返し行うとアカウントが凍結される恐れがあります。
なお、Microsoft側の不具合の場合に表示されることもあり、その場合はブラウザのCookieを削除する必要があります。
- Microsoft EdgeのCookie削除方法
- Internet ExplorerのCookie削除方法
- Google ChromeのCookie削除方法
- Mozilla FirefoxのCookie削除方法