グループポリシーの「コンピュータの構成」→「Windowsの設定」→「セキュリティの設定」→「アカウントポリシー」→「パスワードの有効期間」に有効な期間数を設定することにより、その日数を過ぎれば、ユーザーに強制的にパスワード変更をさせる運用が可能と思いますが、この場合、ドメイン認証されているクライアントパソコンのローカルアカウントもその対象となってしまうと思います。
ここで、クライアントパソコンのローカルアカウントは対象とせず、ドメインユーザーアカウント(「ActiveDirectoryユーザーとコンピュータ」の「Users」に登録されているアカウント)のみにパスワードの有効期間を設定する方法を教えていただけませんでしょうか?
参考となるURLをご紹介いただくと助かります。
(環境)
ドメインコントローラー:Windows Server 2003 R2 Std(sp2)
クライアントパソコン:Windows XP Pro(sp3)
ドメイン数:1
クライアントパソコンのLocal Administrator権限:ユーザーに開放
パスワード制限を行うグループポリシーオブジェクトを作成してドメインコントローラのみに適用すればいいと思いますが。ドメインユーザの認証はすべてドメインコントローラで行われますので、グループポリシーをドメインコントローラのみに適用すれば目的の動作になると思います。
http://www.atmarkit.co.jp/fwin2k/win2ktips/233usepoledit/usepoledit.html
アカウント ポリシーとローカル ポリシー
http://technet.microsoft.com/ja-jp/library/cc736685%28WS.10%29.aspx
上記に書いてあるとおり、アカウントポリシーをドメインに対して設定した上で、
ただし、メンバ コンピュータにおけるローカル アカウント ポリシーは、メンバ コンピュータを含んだ組織単位に対してアカウント ポリシーを定義することで、ドメイン アカウント ポリシーと区別することが可能です。
と書いてあるとおり、クライアントPCが所属するOUに対して別途パスワード有効期限が無期限となるアカウントポリシーを設定することで、要件を満たせるのではないでしょうか。
URLをご紹介いただきありがとうございます。
こちらも早速試してみます。
ご回答いただきありがとうございます。
早速試してみます。