前回(連載第1回)の図1で紹介した「パスワードのポリシー」を適用できるのは、ドメイン全体に対してのみ。Organizational Unit(OU)など細かい単位では、「パスワードのポリシー」を決められない。
しかし、現実には「重要なデータを扱うユーザーには、より厳しいパスワード運用を強制したい」という要望もある。そんなときは、「細かい設定が可能なパスワードポリシー」機能を利用する。
具体的な手順は図2の通り。まずWindows Server 2012 R2で「Active Directory管理センター」を起動しよう(図2の(1))。
この画面で左側の小さいアイコンをクリックし、表示を「ツリービュー」に変える(同(2))。その後、左側の欄を展開して現れた「Password Settings Container」を右クリックし、メニューから「新規」→「パスワードの設定」を選べばよい(同(3)、(4))。
すると、「パスワードの設定の作成」という画面が開く(図3)。文字列の長さや有効期間など、細かいパスワードの設定が可能だ。適用先は、Active Directoryの「ユーザー」か、または管理者が複数の「ユーザー」を束ねた「グループ」になる。画面の下の部分で、このパスワードの規則を適用したい「ユーザー」や「グループ」を選べばよい。うまく使えば、「パスワードの規則を細かく適用するためだけに、わざわざドメインを分ける」といった手間のかかる運用をしなくて済む。