今週は、ユーザーアカウントに設定されているパスワードを変更する際の手順について取り上げよう。

パスワード変更に関する基本

Active Directoryの既定値では、パスワードに有効期限を設定した状態になっており、42日ごとにパスワードを変更しなければならない。これは、同じパスワードを長いこと使い続けるとセキュリティ上のリスクが増すためだ。

通常は、パスワードの期限切れが近付いてくると、ユーザーがログオンした際に警告メッセージを表示して、パスワードを変更するよう促す仕組みになっている。そこで、最初にユーザー自身の手でパスワードを変更する際の手順について解説しよう。

問題は、ユーザーがパスワードを忘れてしまったり、パスワード変更時の操作ミスで変なパスワードを指定して混乱に陥ったりした場合だ。また、無効化していたユーザーアカウントを有効な状態に戻した場合には、パスワードが期限切れになっている可能性が高い。こうした場面では、ユーザーに代わって管理者がパスワードを設定する必要がある。そこで、その際の手順についても解説する。

なお、ユーザーアカウントのプロパティ画面で、[アカウント]タブにある[ユーザーはパスワードを変更できない]チェックボックスをオンにしていると、ユーザーがパスワードを変更しようとしても無視される。

ユーザー自身によるパスワード変更

ここでは、クライアントPCのOSとして、Windows NT/2000/XP/Vistaを使用しているときの操作手順について解説する。

基本となるのは、[Windowsのセキュリティ]画面を使用する方法で、手順は以下の通りだ。

  1. Active Directoryにログオンした状態で、[Ctrl]+[Alt]+[Del]キーを押す。

  2. 続いて表示される[Windowsのセキュリティ]画面で、[パスワードの変更]をクリックする。

  3. パスワード変更画面を表示する。ここでは、現在のパスワードと、変更後の新しいパスワードを2回、入力する必要がある。なお、ログオン直後に「パスワードを変更するかどうかを訊かれて[はい]を選択した場合には、そこから直ちにこの画面を表示するようになっている。この画面ではドメイン名とユーザー名も表示しているので、それが正しいかどうか確認するようにしておけば、間違いが減る。

[Windowsのセキュリティ]画面で、パスワードの変更を指示すると、この画面になる(Windows Vista)
  1. [OK]あるいは[→]をクリックすると、パスワードが変更される。その後は[Windowsのセキュリティ]画面に戻るので、[キャンセル]をクリックして元の画面に戻ればよい。次回以降のログオンでは、変更後の新しいパスワードを使用する。

もう一つの方法が、コマンドプロンプトでnet passwordコマンドを使用する方法だ。こちらの手順は以下のようになっている。

  1. [スタート]-[すべてのプログラム]-[アクセサリ]-[コマンドプロンプト]を選択して、コマンドプロンプトを起動する。

  2. 「net password」と入力して[Enter]キーを押す。

  3. 続いて表示するプロンプトで、現在のパスワードと、変更後の新しいパスワードを入力する。後者については同じものを2回入力するが、これは[Windowsのセキュリティ]画面を使用するときと同じだ。

管理者によるパスワード変更

次に、管理者がパスワードを再設定(リセットともいう)する際の手順について解説する。

には、管理者がパスワードを再設定する。[Active Directoryユーザーとコンピュータ]管理ツールを使用する方法と、コマンドを使用する方法がある。

  1. [Active Directoryユーザーとコンピュータ]管理ツールを起動する。

  2. 左側のツリー画面で、パスワードを変更したいユーザーアカウントがある場所(ドメイン、OUまたはコンテナ)を選択する。

  3. 画面右側の一覧で、パスワードを変更したいユーザーアカウントを選択して、[操作]-[パスワードのリセット]、あるいは右クリックして[パスワードのリセット]を選択する。

対象となるユーザーアカウントを選択してパスワードのリセットを指示すると、パスワードを変更できる

4 続いて表示するダイアログで、新しいパスワードを指定する。

また、管理者がドメインコントローラにログオンして、コマンドを実行する方法もある。net userコマンドを使用する方法とdsmod userコマンドを使用する方法があり、前者に限ってランダムなパスワードを設定できる点は、ユーザーアカウントを追加するときと同じだ。以下に実行例を示す。

ドメイン「ad-domain.company.local」のOU「Tokyo」にあるユーザー「kojii」のパスワードをリセットして、パスワード「A1b2C3d4」を設定

dsmod user cn=kojii,ou=Tokyo,dc=ad-domain,dc=company,dc=local -pwd A1b2C3d4

さらに、スペースで区切って引数「-mustchpwd yes」を追加すると、当該ユーザーが次にログオンしたときに、パスワードを変更するよう求められる。管理者が設定したパスワードをそのまま使い続けないようにするための手法だ。この引数は、「must change password」の略だと覚えればよい。

ユーザー「kojii」にパスワード「A1b2C3d4」を設定

net user kojii A1b2C3d4

ユーザー「kojii」にランダムなパスワードを設定

net user kojii /random

「/random」をつけてコマンドを実行すると、設定したパスワードを画面に表示する点は、ユーザーアカウントの追加でランダムなパスワードを設定するときと変わらない