Active Directory ライトウェイト ディレクトリ サービス (AD LDS) セキュリティ プリンシパルのパスワードは、SSL (Secure Sockets Layer) 接続 (Ldp.exe を使用) または暗号化された非 SSL 接続 (ADSI エディターまたは Ldp.exe を使用) を介して設定および変更できます。AD LDS への SSL 接続を確立するには、AD LDS を実行しているコンピューターおよびすべてのクライアントに証明書をインストールする必要があります。AD LDS インスタンスへの SSL 接続を作成するには、Ldp.exe を使用する必要があります。ADSI エディターでは、SSL 接続はサポートされていません。
既定で AD LDS インスタンスは、存在するすべてのローカル パスワード ポリシーまたはドメイン パスワード ポリシーを自動的に実装します。新しい AD LDS ユーザーを作成し、そのユーザーに有効なパスワード ポリシーの要件を満たさないパスワードを割り当てた場合、そのユーザーは無効になります。
既定では、AD LDS は Windows Server 2008 R2 で提供される次のようなパスワード ポリシー設定およびアカウント ロックアウト設定をサポートし、実装します。
変更禁止期間
有効期間
複雑さの要件
履歴を記録
許容されるログオン試行回数の超過
アカウントの無効化と有効化
AD LDS が実行されているサーバーがワークグループに属する場合、サーバーのローカル パスワード ポリシー設定およびアカウント ロックアウト設定が実装されます。AD LDS が実行されているサーバーがドメインに属する場合、Active Directory ドメイン サービス (AD DS) のパスワード ポリシー設定およびアカウント ロックアウト設定が実装されます。
AD LDS インスタンスの Administrators グループのメンバーシップが、この手順を実行するために最低限必要なメンバーシップです。既定では、AD LDS セットアップ中に AD LDS 管理者として指定するセキュリティ プリンシパルが、構成パーティションの Administrators グループのメンバーとなります。AD LDS グループの詳細については、「AD LDS ユーザーとグループとは」を参照してください。
AD LDS ユーザーのパスワードを設定または変更する
ADSI エディターの使用
 | ADSI エディターを使用して、AD LDS ユーザーのパスワードを設定および変更するには |
ADSI エディターを開きます。
パスワードを設定または変更する AD LDS ユーザーが含まれるディレクトリ パーティションに接続およびバインドします。詳細については、「ADSI エディターを使用して AD LDS インスタンスを管理する」を参照してください。
AD LDS ユーザーを表すディレクトリ オブジェクトを参照し、そのディレクトリ オブジェクトを右クリックします。
[パスワードのリセット] をクリックし、[新しいパスワード] と [パスワードの確認入力] にそのユーザーのパスワードを入力します。
その他の考慮事項
-
ADSI エディターを開くには、AD LDS サーバー役割がインストールされているコンピューターで、[スタート] ボタンをクリックし、[管理ツール] をポイントして、[ADSI エディター] をクリックします。
暗号化された非 SSL 接続経由で Ldp を使用する
| 暗号化された非 SSL 接続経由で Ldp を使用して、AD LDS ユーザーのパスワードを設定および変更するには |
Ldp を開きます。
[オプション] メニューの [接続オプション] をクリックします。
[オプション名] の [LDAP_OPT_ENCRYPT] をクリックします。
[値] に「1」を入力し、[設定]、[閉じる] の順にクリックします。
AD LDS インスタンスに接続およびバインドし、パスワードを設定する AD LDS ユーザーが含まれるディレクトリ パーティションを表示します。詳細については、「Ldp.exe を使用して、AD LDS インスタンスを管理する」を参照してください。
AD LDS ユーザーを右クリックし、[変更] をクリックします。
[属性] に「userpassword」と入力し、[値] にアカウントのパスワードを入力します。
[入力]、[実行] の順にクリックします。詳細ウィンドウに、次のようなメッセージが表示されます。
***Call Modify... ldap_modify_s(ld, 'CN=Mary Baker,O=Microsoft,C=US',[1] attrs); Modified "CN=Mary Baker,O=Microsoft,C=US".
その他の考慮事項
-
Ldp を開くには、[スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「ldp」と入力して、[OK] をクリックします。
-
ADSI エディターを使用してパスワードを設定または変更することもできます。このためには、ADSI エディターで AD LDS セキュリティ プリンシパルを表すディレクトリ オブジェクトを右クリックし、[パスワードのリセット] をクリックします。
-
既定で、Windows Server 2008 R2 上で実行されている AD LDS インスタンスは、すべてのローカル パスワード ポリシーまたはドメイン パスワード ポリシーを自動的に実装します。有効なパスワード ポリシーの要件を満たさない AD LDS ユーザーのパスワードを設定すると、そのユーザー アカウントは無効になります。
-
パスワードが設定または変更された AD LDS ユーザーは、次回ログインするときに新しいパスワードを使用する必要があります。
-
この手順は、AD LDS でセキュリティ プリンシパルとして使用される任意のオブジェクト クラスに適用されます。オブジェクト クラスの定義に、msDS-bindableobject 補助型クラスと unicodePwd 属性が含まれている限り、AD LDS のオブジェクト クラスをセキュリティ プリンシパルとして使用できます。
-
既定では、user、person、inetOrgPerson、および OrganizationalPerson オブジェクト クラスは AD LDS スキーマで使用できません。最初にこれらをインポートする必要があります。
- この手順のタスクは、Windows PowerShell 用 Active Directory モジュール を使用しても実行できます。Active Directory モジュール を開くには、[スタート] ボタン、[管理ツール] の順にクリックし、Windows PowerShell 用 Active Directory モジュール をクリックします。詳細については、AD LDS ユーザーのパスワードを設定または変更する手順に関するページ (英語の可能性あり) (
https://go.microsoft.com/fwlink/?LinkId=137818 ) を参照してください。Windows PowerShell の詳細については、Windows PowerShell に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkID=102372 ) を参照してください。
SSL 接続経由で Ldp を使用する
| SSL 接続経由で Ldp を使用して、AD LDS ユーザーのパスワードを設定および変更するには |
AD LDS インスタンスが実行されているコンピューターにサーバー証明書をインストールし、その AD LDS インスタンスを管理するコンピューターには、一致するクライアント証明書をインストールします。
Ldp を開きます。
[接続] ダイアログ ボックスの [SSL] を選択して、パスワードを設定または変更するユーザーが含まれる AD LDS インスタンスに接続およびバインドします。詳細については、「Ldp.exe を使用して、AD LDS インスタンスを管理する」を参照してください。
AD LDS ユーザーを右クリックし、[変更] をクリックします。
[属性] に「userpassword」と入力し、[値] にアカウントのパスワードを入力します。
[入力]、[実行] の順にクリックします。詳細ウィンドウに、次のようなメッセージが表示されます。
***Call Modify... ldap_modify_s(ld, 'CN=Mary Baker,OU=Beta users,O=Microsoft,C=US',[1] attrs); Modified "CN=Mary Baker,OU=Beta users,O=Microsoft,C=US".
その他の考慮事項
-
Ldp を開くには、[スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、[名前] に「ldp」と入力して、[OK] をクリックします。
-
SSL 接続を確立するには、サーバーとクライアントに証明書が必要です。
-
既定で、Windows Server 2008 R2 上で実行されている AD LDS インスタンスは、すべてのローカル パスワード ポリシーまたはドメイン パスワード ポリシーを自動的に実装します。有効なパスワード ポリシーの要件を満たさない AD LDS ユーザーのパスワードを設定すると、そのユーザー アカウントは無効になります。
-
AD LDS ユーザーが現在ログオンしている場合、そのユーザーは、新しいパスワードを有効にするためにログオフする必要があります。
-
この手順は、AD LDS でセキュリティ プリンシパルとして使用される任意のオブジェクト クラスに適用されます。オブジェクト クラスの定義に、静的な SecurityPrincipal 補助型クラスと unicodePwd 属性が含まれている限り、AD LDS のオブジェクト クラスをセキュリティ プリンシパルとして使用できます。
-
既定では、user、person、inetOrgPerson、および OrganizationalPerson オブジェクト クラスは AD LDS スキーマで使用できません。最初にこれらをインポートする必要があります。詳細については、「AD LDS に付属するユーザー クラスのインポート」を参照してください。