「パスワードポリシーの要件を満たしていません」…対処方法は?

Windows Server
スポンサーリンク

パスワードを変更しようとして「要件を満たしていない」というエラーになった場合の話です。会社などの組織用PCであれば、単純すぎるパスワードや、過去に設定したことがあるパスワードなどは不可のルールとしているケースが多く、これに従う必要があります。この要件(パスワードポリシー)自体の変更方法にも触れつつ、詳しく解説していきます。

パスワードを設定しようとしてこんなエラーが

「パスワードの変更」しようとしたときに、下のエラーになり失敗する。

パスワードを更新できませんでした。新しいパスワードとして指定された値は、パスワードの長さ、複雑さ、または履歴に関するドメインの要件を満たしていません。

あるいは、Windowsで新規ユーザーの作成時に、次のエラーになり失敗する。

ユーザー ○○○ をコンピューター ○○○ 上に作成しようとしたときに次のエラーが発生しました:

パスワードはパスワード ポリシーの要件を満たしていません。パスワードの最短の長さ、パスワードの複雑性、およびパスワード履歴の要件を確認してください。

原因

Windowsのパスワードは、組織のポリシー(もしくはコンピューターのポリシー)によって、その長さや複雑さなどの要件が定められている場合があり、それに則さないとエラーになります。お使いの環境で、どのような要件になっているかは画面に表示されませんので、管理者などに確認する必要があります。よくあるのは次のものです。

  • パスワードの長さ
  • パスワードの複雑さ
  • 以前と同じパスワードを再設定させない
  • パスワード変更後はしばらく再変更させない

以下、それぞれについて解説します。

パスワードの長さ

パスワードの文字数の要件です。例えば「8文字以上」と指定されている場合、「fuji-00」(7文字)はNGで、「fuji-000」(8文字)ならOKとなります。

パスワードの複雑さ

文字種の多さの要件で、「英小文字・英大文字・数字・記号のうち3種類以上使ってね」という要件です。これが有効な場合、例えば「fujiyama」(英小文字の1種類)はNGで、「fujiya-1」(英小文字+記号+数字の3種類)や、「fujiYa12」(英小文字+英大文字+数字の3種類)だとOKとなります。

Windowsでは、この要件がデフォルトでONになっていますので、ほとんどの環境では記号や数字などを組み合わせる必要があります。

以前と同じパスワードを再設定させない

過去に使ったパスワードを、再度設定してはいけない」という要件です。これが有効な場合、例えば「fujiyama-1」というパスワードから「fujiyama-2」に変更し、その後また「fujiyama-1」に戻すことはNGとなります。

パスワードの定期変更を義務付けている場合(最近は減っていると思いますが)に、同じパスワードの使いまわしを防ぐために使われる要件です。

ちなみに、内部では「パスワードの履歴を記録する回数」が指定されていて、これが「24回」の場合は、「fujiyama-1」→「fujiyama-2」→‥‥「fujiyama-25」くらいまで変更すれば、最初の「fujiyama-1」を再設定できるようになります。

パスワード変更後はしばらく再変更させない

パスワードを変更してから○日間は再変更してはいけない」という要件です。例えば、再変更禁止期間を「1日」と指定されている場合、ユーザーAのパスワードした後、翌日までユーザーAのパスワードは変更できません。

なぜこのような要件があるかというと、前項の「以前と同じパスワードを再設定させない」の「抜け穴」を塞ぐためです。例えば前項の「パスワードの履歴を記録する回数」を「24回」としていて、もし再変更禁止期間の要件が無い場合、25回くらい連続で適当なパスワードを変更すれば、以前と同じパスワード使いまわせてしまいます。

エラーの対処方法

エラーの対処方法は、次の2つが考えられます。

  1. ポリシーに沿うパスワードを設定する
  2. パスワードのポリシーを変更する

基本は1つ目のとおり、複雑さやパスワードの使いまわしなど、その環境の要件に沿うパスワードにすることでしょう。繰り返しになりますが、どのようなポリシーになっているかは、パスワード変更画面には表示されません。管理者がいる場合は確認するか、あるいは考えられる要件を満たすパスワードを設定してみるのも有効です。例えば、過去に設定したことがなく、かつ「fujiyama-3776M」のように長く複雑なパスワードを設定してみる、という具合です。

2つ目のポリシー変更については、ユーザーの種類や立場で可否が変わります。ドメインユーザーの場合は、ドメインポリシーの変更が必要であり、基本的にActive Directoryドメイン管理者の権限が必要です。ローカルユーザーの場合、ローカルコンピューターのポリシー変更が必要で、そのコンピューターの管理者権限が必要です。変更方法は、参考として次項で紹介します。

ローカルコンピューターのパスワードポリシー変更方法

前述の通り、ポリシーに沿うパスワードを設定することが基本です。ただし、限定的な権限のみをもつユーザーの場合などで、簡単なパスワードのほうが運用上望ましい場合もあります。パスワードを突破された場合の被害が少ない(許容できる)場合は、ポリシーを変更することが可能です。

以下は、ローカルコンピューターのポリシー変更手順です。

変更手順

まず、ローカルグループポリシーエディターを起動します。[コンピューターの構成]>[Windowsの設定]>[セキュリティの設定]>[アカウントポリシー]>[パスワードのポリシー]を開き、各項目を設定します。

例えば、上の図のように設定すると、どんなパスワードでも設定できるようになります。もちろん、これを推奨しているわけではありません。

Active Directory ドメインに参加している場合は、ドメインのパスワードポリシーが優先されます。ドメイン環境では、ドメインのパスワードポリシーが定義されていることが多い(デフォルトのドメインポリシーで定義されている)ため、上記の設定が効かない可能性が高いです。

ドメインの環境のパスワードポリシー変更

ドメインのパスワードポリシーを変更するには、ドメイン管理者によって、基本的にドメイン全体のポリシーオブジェクトを修正する必要があります。しかしそれはドメイン全体に影響し、組織全体のセキュリティリスクを高める可能性もありますので、慎重に判断する必要があるでしょう。

参考までに、Active Directoryドメインを構築すると「Default Domain Policy」というポリシーがデフォルトで用意され、ドメイン全体に適用されます。このポリシーの中に、パスワードの要件も含まれています(前述のローカルグループポリシーと同じ箇所)。これを変更するには、管理ツール「グループポリシーの管理」で、「Default Domain Policy」などの「パスワードのポリシー」項目を変更します。ただしドメイン全体に影響が及びますので、変更には十分注意して下さい。

フィードバック

フィードバック

コメント

タイトルとURLをコピーしました