次の方法で共有

NTLM ネットワーク認証動作の設定では、前のパスワードを使用できます

この記事では、NTLM パスワードの変更に影響する動作と、レジストリを使用してこの動作を変更する方法について説明します。

元の KB 番号: 906305

はじめに

NTLM ネットワーク認証には、ユーザー パスワードが変更されたときにオプションがあります。 ドメイン ユーザーは、パスワードが変更されてから 5 分間、古いパスワードを使用してネットワークにアクセスできます。 認証に Kerberos を使用するように設計された既存のコンポーネントは、この変更の影響を受けません。

この変更の目的は、管理者が新しいパスワードの資格情報を更新できるようになるまで、サービスなどのバックグラウンド プロセスの実行をしばらく継続できるようにすることです。

NTLM ネットワーク認証の動作

分散環境での NTLM ネットワーク認証のネットワーク アクセスを確実にサポートするために、NTLM ネットワーク認証の動作は次のとおりです。

  • ドメイン ユーザーが NTLM を使用してパスワードを正常に変更した後も、ユーザーが定義できる期間、ネットワーク アクセスに古いパスワードを使用できます。 この動作により、パスワードの変更が反映されている間、複数のコンピューターにログオンしているサービス アカウントなどのアカウントがネットワークにアクセスできるようになります。
  • パスワードの有効期間の延長は、NTLM を使用したネットワーク アクセスにのみ適用されます。 対話型ログオンの動作は変更されません。 この動作は、スタンドアロン サーバーまたはメンバー サーバーでホストされているアカウントには適用されません。 この動作の影響を受けるのはドメイン ユーザーだけです。
  • 古いパスワードの有効期間は、ドメイン コントローラーでレジストリを編集することで構成できます。 このレジストリの変更を有効にするために再起動は必要ありません。

古いパスワードの有効期間を変更する

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 したがって、次の手順を注意深く実行してください。 保護のために、レジストリを変更する前に、バックアップします。 その後、問題が起こった場合は、レジストリを復元できます。 レジストリのバックアップと復元方法の詳細は、「Windows のレジストリのバックアップおよび復元の方法」を参照してください。

古いパスワードの有効期間を変更するには、ドメイン コントローラーの次のレジストリ サブキー OldPasswordAllowedPeriod という名前の DWORD エントリを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

これを行うには、次の手順を実行します。

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、「Regedit」と入力し、[OK] をクリックします。

  2. 次のレジストリ サブキーを見つけてクリックします。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。

  4. DWORD の名前として「 OldPasswordAllowedPeriod 」と入力し、Enter キーを押します。

  5. OldPasswordAllowedPeriodを右クリックし、[ Modify] をクリックします。

  6. [ 値データ ボックスに、使用する値を分単位で入力し、[ OK] をクリック

    有効期間は分単位で設定されます。 このレジストリ値が設定されていない場合、古いパスワードの既定の有効期間は 5 分です。

  7. レジストリ エディターを終了します。

注記

このレジストリ設定では、再起動を有効にする必要はありません。

この動作では、セキュリティ上の弱点は発生しません。 両方のパスワードを 1 人のユーザーだけが認識している限り、ユーザーはどちらのパスワードを使用しても安全に認証されます。

ユーザーのパスワードが侵害されていることが判明した場合、管理者はそのユーザーのパスワードをリセットする必要があります。 管理者は、次のログオン時にパスワードを変更して古いパスワードをできるだけ早く無効にするようにユーザーに依頼する必要があります。

ユーザーのパスワードをリセットするには、次の手順に従います。

  1. [Active Directory ユーザーとコンピューター] を起動します。
  2. パスワードをリセットする必要があるユーザー アカウントを見つけます。
  3. ユーザー オブジェクトを右クリックし、[ パスワードの設定] をクリックします。
  4. 新しいパスワード ボックスおよび パスワード確認 ボックスに新しいパスワードを入力してください。
  5. [ユーザーが次回ログオン時にパスワードを変更する必要がある を選択 ] チェック ボックスをオンにし、[ OK] をクリック

注意事項

この記事で説明する動作は、ドメイン コントローラーの有効なパスワード ポリシーに Enforce パスワード履歴 2 つ以上のパスワードを記憶することを指定する値が設定されている場合にのみ発生します。 パスワード ポリシーはドメイン レベルで設定する必要があります。 Secpol.msc スナップインを使用して、ポリシーがドメイン コントローラーに対して有効になったかどうかを確認できます。 ドメイン ユーザーのパスワード履歴は、 きめ細かいパスワード ポリシーを使用して設定することもできます。