この記事では、管理者アカウントのパスワード有効期限ポリシーの仕様上の動作について説明します。
元の KB 番号: 2837704
まとめ
メンバー サーバー上のローカル管理者 (RID -500) アカウントのパスワードの有効期限が切れているので、ログオン画面でパスワードの変更を求めるメッセージは表示されません。 ログオンしてコンソールにアクセスできます。 "ユーザーは次回ログオン時にパスワードを変更する必要があります" の設定は、管理者のアカウントのプロパティでオンになっています。 ログオンすると、吹き出しがポップアップ表示され、"パスワードの変更を確認してください" というメッセージが表示されることがあります。
ローカルの管理者アカウントのプロパティで、"ユーザーは次回ログオン時にパスワードを変更する必要があります" オプションを手動でオフにした場合は、[OK] をクリックしてログオフを実行し、ログオンすると、そのオプションのチェック ボックスがユーザーのプロパティに再び設定されていることがわかります。 [ユーザーは次回ログオン時にパスワードを変更する必要があります] のチェック ボックスは、ログオン時に CTRL + ALT + DEL -> パスワードの変更 を使用してパスワードが実際に変更されるまではオンになります。
パスワードの有効期限が切れているローカル Administrators グループに手動で作成および追加された通常のアカウントは、コンソールにアクセスする前に、ログオン画面でパスワードを変更するように求められます。
詳細
この動作は仕様であり、パスワードの有効期限が切れている場合でも、-500 RID アカウント (管理者とも呼ばれます) を使用して管理者がシステムにログオンしてトラブルシューティング タスクを実行できるようにすることが想定されています。 セキュリティ上の理由から、パスワードの有効期限が切れている場合、他のアカウントはログオンできません。
管理者グループまたは組み込みのローカル グループのメンバーであるパスワードの有効期限が切れている他のアカウント、または "Allow Logon Locally" ユーザー権限を持つアカウントはログオンを許可されず、コンソールにアクセスする前にログオン画面でパスワードの変更が強制されます。
Note
ドメイン コントローラーにログオンする場合、Active Directory のドメイン管理者アカウント (-500 RID) でも同じ動作が有効です。