最終更新日付: 2020年10月24日
パソコンはワークグループ(workgroup)に所属しているが、
ファイルサーバーのみ、なぜかADユーザー(active directoryユーザー)で管理しておりAD認証をしているという中小企業は時々あります。
さらに言うと、ワークグループのユーザー名・パスワードと
ADのユーザー名・パスワードを同一にし、ファイルサーバーへのADユーザー認証を発生させないような工夫(ADサーバーとファイルサーバーの同居)をしているケースもあります・・・。
このようなワークグループ+AD混在環境の場合、ワークグループに所属しているWindowsパソコンからADユーザーのパスワードを変更する方法は何かないでしょうか?
レジュメ
環境・前提条件
ワークグループパソコンを使用し、ADユーザーのパスワードを変更したい。
ワークグループパソコンのDNS設定はADサーバを指定している(もしくはADの名前解決が出来る)前提です。
- ADはWindows Server 2012R2 AD
- ワークグループパソコンはWindows Server 2016
の二台構成環境で確認しました。
結論、ワークグループパソコン上でのCtrl+Alt+deleteのパスワード変更画面からADユーザーのパスワードも変更できる。ただし・・・
ワークグループパソコンで、Ctrl+Alt+Deleteキーを入力し、「パスワードの変更」ボタンより上記パスワード変更画面を表示させ、
無理やり、別のドメインユーザーを指定し「ドメイン\ユーザー名」パスワード変更を試みるとドメインユーザー(ADユーザー)のパスワードが変更できます。
ただし、条件があり
- 当然ワークグループパソコンのDNSサーバーはADのDNSサーバーが指定されている(もしくはフォワーディングされている)
- セキュリティレベルの低いADであること
です。後者については、以下で説明します。
LAN Managerの認証レベルが低い場合に限る
昔は、そのままこのパスワード変更方法ができたのですが、最近はWindowsUpdateのセキュリティパッチによりセキュリティレベルが上がり、そのままのデフォルト設定ではこのパスワード変更方法が出来ないことがわかりました。
ADドメイン側のグループポリシーの設定ですが、LAN Manager認証レベルが高いと上記条件によるパスワード変更は出来ず、「パスワードの複雑さ等の制限を満たしていません」とエラーで表示されます。
ADドメイン側のグループポリシーで「コンピュータの構成」-「ポリシー」-「Windowsの設定」-「セキュリティの設定」-「ローカルポリシー」-「セキュリティオプション」-「ネットワークセキュリティ:LAN Manager認証レベル」を低くすれば上記方法でリモートによるパスワード変更が可能になります。
以上、だんだんセキュリティレベルが高まってきており、以前出来ていたことが最新環境では標準では出来なくなっていることを知った話でした。