新しい設定により NTLM ネットワーク認証の動作が変更される

  • [アーティクル]

この記事では、NTLM パスワードの変更に影響を与える新しい動作と、レジストリを使用してこの動作を変更する方法について説明します。

適用対象: Windows Server 2012 R2
元の KB 番号: 906305

はじめに

Microsoft Windows Server 2003 Service Pack 1 (SP1) 以降、NTLM ネットワーク認証動作に変更があります。 ドメイン ユーザーは、パスワードが変更されてから 1 時間、古いパスワードを使用してネットワークにアクセスできます。 認証に Kerberos を使用するように設計された既存のコンポーネントは、この変更の影響を受けません。

この変更の目的は、管理者が新しいパスワードの資格情報を更新できるようになるまで、サービスなどのバックグラウンド プロセスの実行をしばらく継続できるようにすることです。

NTLM ネットワーク認証の動作

分散環境での NTLM ネットワーク認証のネットワーク アクセスを確実にサポートするために、NTLM ネットワーク認証の動作は次のとおりです。

  • ドメイン ユーザーが NTLM を使用してパスワードを正常に変更した後も、ユーザー定義可能な期間のネットワーク アクセスに古いパスワードを使用できます。 この動作により、サービス アカウントなどのアカウントは、パスワードの変更が反映されている間にネットワークにアクセスするために複数のコンピューターにログオンします。
  • パスワード有効期間の延長は、NTLM を使用したネットワーク アクセスにのみ適用されます。 対話型ログオン動作は変更されません。 この動作は、スタンドアロン サーバーまたはメンバー サーバーでホストされているアカウントには適用されません。 この動作の影響を受けるのはドメイン ユーザーのみです。
  • ドメイン コントローラー上のレジストリを編集することで、古いパスワードの有効期間を構成できます。 このレジストリ変更を有効にするには、再起動は必要ありません。

古いパスワードの有効期間を変更する

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、「Windows でレジストリをバックアップおよび復元する方法」を参照してください。

古いパスワードの有効期間を変更するには、ドメイン コントローラーの次のレジストリ サブキー に OldPasswordAllowedPeriod という名前の DWORD エントリを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

これを行うには、次の手順を実行します。

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、「Regedit」と入力し、[OK] をクリックします。

  2. 次のレジストリ サブキーを見つけてクリックします。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。

  4. DWORD の名前として OldPasswordAllowedPeriod と入力し、Enter キーを押します。

  5. OldPasswordAllowedPeriod を右クリックし、[変更] をクリックします。

  6. [ 値データ ] ボックスに、使用する値を分単位で入力し、[OK] をクリック します

    注:

    有効期間は分単位で設定されます。 このレジストリ値が設定されていない場合、古いパスワードの既定の有効期間は 60 分です。

  7. レジストリ エディターを終了します。

注:

このレジストリ設定を有効にするには、再起動は必要ありません。

この動作は、セキュリティ上の弱点を引き起こしません。 1 人のユーザーのみが両方のパスワードを知っている限り、ユーザーはどちらのパスワードを使用しても安全に認証されます。

ユーザーのパスワードが侵害されていることがわかっている場合、管理者はそのユーザーのパスワードをリセットする必要があります。 管理者は、次のログオン時にパスワードを変更して、できるだけ早く古いパスワードを無効にするようにユーザーに依頼する必要があります。

ユーザーのパスワードをリセットするには、次の手順に従います。

  1. Active Directory ユーザーとコンピューターを起動します。
  2. パスワードをリセットする必要があるユーザー アカウントを見つけます。
  3. ユーザー オブジェクトを右クリックし、[ パスワードのリセット] をクリックします。
  4. [新しいパスワード] ボックスと [パスワードの確認] ボックスに新しいパスワードを入力します。
  5. [ ユーザーは次のログオン時にパスワードを変更する必要があります ] チェック ボックスをオンにし、[OK] をクリック します

注:

この記事で説明する動作は、ドメイン コントローラーの有効なパスワード ポリシーで パスワード履歴の適用 が 2 つ以上のパスワードを記憶することを指定する値に設定されている場合にのみ発生します。 パスワード ポリシーはドメイン レベルで設定する必要があります。 Secpol.msc スナップインを使用して、ポリシーがドメイン コントローラーに対して有効になっているかどうかを判断できます。