ドメイン環境ではDefault Domain Policyというものがもともと定義されており、規定でそのドメインに適用されています。その中ではパスワードポリシーがいくつか入っており、パスワードの複雑性が有効になっていたり、最低文字数が7に設定されていたりします。
実はこのポリシーと重複するポリシーを自分で定義して適用した場合でも、Default Domain Policyのほうが優先されます。
パスワードポリシーはDefault Domain Policyのほうが優先
これはなぜなのか見ていきたいと思います。
グループポリシーの優先順位
そもそもグループポリシーの優先順位は少し複雑。なので基本の話から。
まず、グループポリシーにはコンピュータの構成とユーザの構成と2種類ある(パスワードポリシーは「コンピュータの構成」)。
その適用順序として、規定ではユーザの構成のほうが優先されます。重複している項目があればユーザ構成の方に設定されたものが使用されるということ。
ただ、ユーザの構成とコンピュータの構成は本来別物。それらで重複している内容があったとしても微妙な違いがある可能性があります。そのため結局は使用したいポリシーのドキュメントを確認するのが確実。
明示的にグループポリシーの設定画面で優先順位を設定することも可能。
優先順位が低いものから先に適用される。あとから適用されたほうが最終的に使用される。
なおグループポリシーはいろいろな場所にリンクできますが、その優先順位は以下。
- OU
- ドメイン
- サイト
- ローカルセキュリティポリシー
最終的には基本的な優先順位はこうなる。
- OUにリンクされている、優先度が高いGPOのユーザの構成
- OUにリンクされている、優先度が高いGPOのコンピュータの構成
- OUにリンクされている、優先度が低いGPOのユーザの構成
- OUにリンクされている、優先度が低いGPOのコンピュータの構成
- ドメインにリンクされている、優先度が高いGPOのユーザの構成
- ドメインにリンクされている、優先度が高いGPOのコンピュータの構成
- ドメインにリンクされている、優先度が低いGPOのユーザの構成
- ドメインにリンクされている、優先度が低いGPOのコンピュータの構成
- サイトにリンクされている、優先度が高いGPOのユーザの構成
- サイトにリンクされている、優先度が高いGPOのコンピュータの構成
- サイトにリンクされている、優先度が低いGPOのユーザの構成
- サイトにリンクされている、優先度が低いGPOのコンピュータの構成
- ローカルにリンクされている、優先度が高いGPOのユーザの構成
- ローカルにリンクされている、優先度が高いGPOのコンピュータの構成
- ローカルにリンクされている、優先度が低いGPOのユーザの構成
- ローカルにリンクされている、優先度が低いGPOのコンピュータの構成
パスワードポリシーはちょっと特殊
Default Domain Policyはドメインにリンクしているので、OUに別のGPOをリンクさせればそちらのほうが優先されそうなところ。
しかしパスワードポリシー(アカウントポリシー)は特別でドメインにリンクしたものしか有効になりません。
たとえばパスワードの複雑性を無効にしたポリシーを適用したOUに所属するPCで、ログオンしているドメインユーザのパスワード変更するとどうなるか?できないはずです。
本当にドメインにリンクしたものしか有効にならないか検証
機能レベルWindows Server 2012R2のADで検証しました。
パスワードの複雑性を無効にしたポリシーが適用されたコンピューターにてログオンしているユーザのパスワードを簡単なパスワードに変更できるか試しました。
結果、パスワードの複雑性は効いていてパスワードの変更ができませんでした。
つまりDefault Domain Policyのほうが有効となりました。
前述したとおり、アカウントポリシーはドメインにリンクしたものしか有効にならない仕様だからです。そのためドメインで統一されたアカウントポリシーしか持つことができません。
ちなみに自分のパソコンにどんなアカウントポリシーが適用されているかは以下のコマンドでわかります。
net accounts /domainまとめ
ポリシーによっては書いても有効にならなかったり優先順位がまちまちだったりします。特にアカウントポリシーは特別なので気をつける必要があります。
あわせてGPOがどこに適用されてどこまで作用が及ぶのがイメージし、テストすることが重要です。