Windows Home Sever 2011のサポートも終了したため移行先を検討しています。Windows Server 2012 R2 Essentialsを勧めているサイトが多いので評価版でテストしてみると、いろいろと問題が出てきました。
その中でパスワードポリシーは制限がきついため変更方法を記しておきます。
Windows Server 2012 R2 Essentials
Small Business Serverの後継製品とも言えるもので、Windows Server 2012 R2の機能制限版+アルファです。
- Windows Server 2012 R2価格およびライセンス体系の概要(Microsoft)
25ユーザーまで利用できるサーバーパッケージでダッシュボードから殆どのことが行えるようになっており、Windows Home Server 2011に近い感覚です。
中小企業で導入した場合、社員数が増えて25ユーザーを超えた場合、ユーザーCALの追加はできず、Windows Server 2012 R2 Standardにアップグレードしなければなりません。
Windows Home Server 2011とWindows Server 2012 R2 Essentialsの最も大きな違いは、前者はワークグループでの運用であったのに対し、後者はドメインでの運用となっていることです。
そのため、Windows Server 2012 R2 Essentialをインストールすると、そのパソコンはドメインコントローラー、DNSサーバー。証明機関管理、リモートアクセスサーバー、Webサーバー(IIS)などの機能を持つことになります。
ドメインコントローラーであることの制限
Windows Server 2012 R2 Essentialsはドメインでの運用となるためクライアントパソコンはドメイン参加するならProエディションが必須になるなど制限がでてきます。
また、ドメインコントローラーはドメインのポリシーに従う必要があり、トップドメインのドメインコントローラーでもポリシー変更はそのサーバーではなくドメインに対して行う必要があります。
できるだけクライアントの環境を変えずに移行したいと考えているのですが、ドメインのセキュリティポリシーがそれを邪魔します。
ダッシュボードからユーザーアカウントを追加しようとすると、
このようにワークグループ運用と異なるパスワードポリシーが設定されています。
また、180日というパスワードの有効期限も設定されているため、忘れた頃にログオンできなくなる障害が発生する原因にもなっています。
パスワードポリシーの変更方法
(注意)以下の操作での設定次第ではセキュリティ的に非常に脆弱な環境にもなるので注意が必要です。
画面左下の「Windowsアイコン」を右クリックして「ファイル名を指定して実行」をクリックします。
またはキーボードの[Windows]+[R]を押します。
「名前」に「mmc」と入力して「OK」をクリックします。
ユーザーアカウント制御が表示されるので「はい」をクリックします。
管理コンソールが表示されます。
メニューの「ファイル」「スナップインの追加と削除」をクリックします。
左側の「利用できるスナップイン」で「グループポリシー管理エディター」を選択し、「追加」をクリックします。
グループポリシーオブジェクトの選択画面が表示されるので「参照」をクリックします。
「Default Domain Policy」を選択して「OK」をクリックします。
グループポリシーオブジェクトの選択画面に戻るので「完了」をクリックします。
スナップインが追加されたので「OK」をクリックします。
管理コンソールに戻ると「Default Domain Policy」が追加されています。
順に「Default Domain Policy」「コンピューターの構成」「ポリシー」「Windowsの設定」「セキュリティの設定」「アカウント ポリシー」「パスワードのポリシー」と開いていきます。
中央部分にドメインポリシーの設定が表示されます。
この中で問題となるポリシーをダブルクリックして順に変更していきます。
パスワードの長さ
設定についての説明
パスワードの有効期間
設定についての説明
パスワードの履歴
設定についての説明
パスワードの複雑さ
設定についての説明
一通り設定するとこのように変わります。
これはあくまで例なので自分の環境に合ったように変更します。
ドメインのパスワードポリシーは変更しましたので、ドメインコントローラーにポリシーを適用する必要があります。
画面左下の「Windowsアイコン」を右クリックして「コマンドプロンプト(管理者)」をクリックします。
ユーザーアカウント制御が表示されるので「はい」をクリックします。
コマンドプロンプトが表示されるので、「gpupdate」と入力し[Enter]を押して実行します
再度ユーザーアカウントの追加を実行してパスワードの制限が解除されていることを確認できたら、管理コンソールとコマンドプロンプトを閉じます。
ちなみに、ワークグループ環境での設定値はクライアントパソコンで「ローカルセキュリティポリシー」を実行して確認できます。
まとめ
どちらにしろ、Windowsドメインにクライアントを参加させるならプロファイルをコピーするついでにパスワードも変えればよいと思われるかもしれません。
しかし、ドメインに参加させなくともパススルー認証を使う方法もあります。また、パスワードを変えると覚えられなくなると文句を言うユーザーがいるかもしれません。
説明した方法は面倒ですが、移行に対する敷居も多少下がると思います。
なお、Windows Server 2016 Essentials Insider Previewも開発が進んでおり、今、Windows Server 2012 R2 Essentialsに移行するのは時期的に損な気もします。
心配していたセキュリティパッチもWindows Home Server 2011はWindows Server 2012 R2をベースとしているため4月以降も提供されています。Windows Home Server 2011独自の拡張機能の利用を控えればもう少し使えそうです。
コメント