ワークグループのパソコンからドメインユーザーのパスワード変更方法

パソコンはワークグループに所属しているが、
ファイルサーバーのみ、なぜかADユーザーで管理しておりAD認証をしているという中小企業は時々あります。
その場合、さらに言うと、ワークグループのユーザー名・パスワードと
ADのユーザー名・パスワードを同一にし、ファイルサーバーへの認証を発生させないような場当たりな工夫がしてあったりするケースもあります、、、

ワークグループに所属しているWindowsパソコンからADユーザーのパスワードを変更する方法は何かないでしょうか?

環境・前提条件

ワークグループパソコンを使用し、ADユーザーのパスワードを変更したい。
ワークグループのパソコンのDNSの設定はADサーバを指定してある前提です。

  • ADはWindows Server 2012R2 AD
  • ワークグループパソコンはWindows Server 2016

と言った、二台構成の環境で確認しました。

結論、ワークグループパソコン上でのCtrl+Alt+deleteのパスワード変更画面からADユーザーのパスワードも変更できる。ただし・・・

image

ワークグループパソコンで、Ctrl+Alt+Deleteキーを入力し、「パスワードの変更」ボタンより上記パスワード変更画面を表示させ、
無理やり、別のドメインユーザーを指定し「ドメイン\ユーザー名」パスワード変更を試みるとパスワードが転校できます。

ただし、条件があり

  • 当然ワークグループパソコンのDNSサーバーはADのDNSサーバーが指定されている(もしくはフォワーディングされている)
  • セキュリティレベルの低いADであること

後者については、以下で説明します。

ただし、LAN Managerの認証レベルが低い場合に限る

image

昔は、そのままできたのですが、最近はWindowsUpdateのセキュリティパッチによりセキュリティ
レベルが上がり、そのままのデフォルト設定では出来ないことがわかりました。
ADのドメイン側のグループポリシーの設定ですが、LAN Manager認証レベルが高いと上記条件によるパスワード変更は出来ず、「パスワードの複雑さ等の制限を満たしていません」とエラーで表示されます。

AD側のグループポリシーで「コンピュータの構成」-「ポリシー」-「Windowsの設定」-「セキュリティの設定」-「ローカルポリシー」-「セキュリティオプション」-「ネットワークセキュリティ:LAN Manager認証レベル」を低くすれば上記方法でリモートによるパスワード変更が可能になります。

以上、だんだんセキュリティレベルが高まってきており、以前出来ていたことが最新環境では標準では出来なくなっていることを知った話でした。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です