Windows Server 2003 Service Pack 1 で NTLM ネットワーク認証の動作が変更される

文書翻訳 文書翻訳
文書番号: 906305 - 対象製品
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
すべて展開する | すべて折りたたむ

目次

はじめに

Microsoft Windows Server 2003 Service Pack 1 (SP1) では NTLM ネットワーク認証の動作が変更されます。Windows Server 2003 SP1 をインストールすると、ドメイン ユーザーは自分のパスワードを変更してから 1 時間の間、古いパスワードを使用してネットワークにアクセスできます。認証に Kerberos を使用するように設計されている既存のコンポーネントは、この変更の影響を受けません。

詳細

分散環境で NTLM ネットワーク認証を使用するネットワーク アクセスが確実にサポートされるように、Windows Server 2003 SP1 では NTLM ネットワーク認証の動作が次のように変更されます。
  • ドメイン ユーザーが NTLM を使用してパスワードを正常に変更した後、ユーザーが指定した期間については、ネットワーク アクセスに古いパスワードを引き続き使用できます。この動作により、パスワードの変更が伝達されるまでの間、複数のコンピュータにログオンするサービス アカウントなどのアカウントがネットワークにアクセスできるようになります。
  • このパスワードの有効期間の延長は、NTLM を使用するネットワーク アクセスのみに適用されます。対話的なログオンの動作は変更されません。この動作は、スタンドアロン サーバーおよびメンバ サーバーでホストされているアカウントには適用されません。ドメイン ユーザーだけが、この動作の影響を受けます。
  • 古いパスワードの有効期間を構成するには、ドメイン コントローラのレジストリを編集します。 このレジストリ変更を有効にするために再起動する必要はありません。

古いパスワードの有効期間を変更する方法

警告 : レジストリ エディタまたは別の方法を使用してレジストリを誤って変更すると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリの変更により発生した問題に関しては、一切責任を負わないものとします。レジストリの変更は、自己の責任において行ってください。

古いパスワードの有効期間を変更するには、ドメイン コントローラの次のレジストリ サブキーに OldPasswordAllowedPeriod という名前の DWORD 値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
この操作を行うには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に regedit と入力し、[OK] をクリックします。
  2. 次のレジストリ サブキーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
  4. DWORD 値の名前として OldPasswordAllowedPeriod と入力し、Enter キーを押します。
  5. [OldPasswordAllowedPeriod] を右クリックし、[修正] をクリックします。
  6. [値のデータ] ボックスに、使用する値を分単位で入力して、[OK] をクリックします。

    : 有効期間は分単位で設定します。このレジストリ値を設定しない場合、古いパスワードの有効期間のデフォルト値は 60 分です。
  7. レジストリ エディタを終了します。

    : このレジストリ設定を有効にするために再起動する必要はありません。
: この動作によって、セキュリティ上の問題が発生することはありません。両方のパスワードを知っているユーザーが 1 人だけであれば、いずれのパスワードを使用しても、そのユーザーは依然として安全に認証されます。

ユーザーのパスワードが侵害されたことが判明した場合、管理者はそのユーザーのパスワードをリセットし、そのユーザーに、次回ログオン時にパスワードを変更して古いパスワードを早急に無効化するように依頼する必要があります。

ユーザーのパスワードをリセットするには、次の手順を実行します。
  1. Active Directory ユーザーとコンピュータを起動します。
  2. パスワードのリセットが必要なユーザー アカウントを見つけます。
  3. ユーザー オブジェクトを右クリックし、[パスワードのリセット] をクリックします。
  4. [新しいパスワード] ボックスと [パスワードの確認入力] ボックスの両方に新しいパスワードを入力します。
  5. [ユーザーは次回ログオン時にパスワード変更が必要] チェック ボックスをオンにし、[OK] をクリックします。
: この資料に記載されている動作が実行されるのは、ドメイン コントローラの有効なパスワード ポリシーの [パスワードの履歴を記録する] にパスワードが 2 回以上記録されるように指定する値が設定されている場合だけです。このパスワード ポリシーは、ドメイン レベルで設定する必要があります。Secpol.msc スナップインを使用すると、ドメイン コントローラでこのポリシーが有効かどうかを確認できます。

プロパティ

文書番号: 906305 - 最終更新日: 2007年6月22日 - リビジョン: 2.3
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003 Service Pack 1?を以下の環境でお使いの場合
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
キーワード:?
kbhowto KB906305
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com