ど素人おじさんの報告書WP

悲しいかな、我々「おじさん」の世代はかなりヤラレっぱなしのキビシイ状況が続いています。 しかしながら、まんざらすてたもんでもない部分も多少なりともあるはず。

*

ローカルセキュリティポリシーが無いWindows7 HomeEditionでパスワード無し(空のパスワード)や有効期限を設定する運用。

      2017/07/11

geralt / Pixabay

あんまり意識していなかったのですが、表題の情報はあまりネット上では公開されていない?ような気がします。もしかして、御法度なんですかね?
もし、まずい場合はごご連絡ください。

ともかく記述します。

知り合いがWindows7 Home Editionを再インストールしたら他のPCに接続されている共有プリンターが使えなくなったので何とかしてほしいという要望がありました。IDやパスワードを要求する画面が現れたり、サーバーからセキュリティー警告メールが飛んで来たりと、どうにも大変な状況なようです。
そういえば、以前この知り合いの事務所のPCの何台かが、Windows7 HomeEditionでとりあえずの設定で急場をしのいだことがありました。この事務所ではサーバーを除く運用PCはすべてパスワードなしで運用されていました。あまり感心できない環境ですがそういう会社はすごく多いです。

Windows7のPCでネットワーク上でプリンターやディスクやコンピューターのフォルダ共有デバイスなどを利用する場合、パスワードを要求されます。この場合、Windows7のPCにパスワードが設定されていないと接続利用ができません。

この解決は、一般的にWindows7 Professinal以上のPCの場合、パスワードを設定するか、あるはパスワードを空白のままで運用を可能にする設定を行わなければなりません。
パスワードを空白のままで運用を可能にする設定の手順は

  1. 「コントロールパネル」から「ローカルセキュリティポリシー」を選ぶ。
  2. 「ローカルセキュリティポリシー」起動後、「ローカルポリシー」のフォルダから「セキュリティオプション」のフォルダーを選ぶ。
  3. 「セキュリティオプション」のフォルダーの中の「アカウント:ローカルアカウントの空のパスワードの使用をコンソールログオンのみに制限する」のポリシーがデフォルトでは「有効」になっているので、これをダブルクリックします。
  4. 「アカウント:ローカルアカウントの空のパスワードの使用をコンソールログオンのみに制限する」の設定画面が開くので、「無効」を選択して、適用およびOKで設定完了です。

同様に、Windows7 Professinal以上ではアカウントポリシーでパスワードの期限などを設定するメニューがあり、この設定も必要です。

ところが、Windows7 HomeEditionには「詳細なアカウントポリシー」「ローカルセキュリティポリシー」の設定が標準ではできません。というか無いんですね。しかし、「アカウントポリシー」や「パスワードポリシー」を作成操作することによって出来る場合があります。

今回はネットワーク監視のシステムが、「パスワードの期限」と「パスワードの変更禁止期間」が設定されていることと、「空のパスワードでログオン」(リモートコントロールがらみ?)をチェックしているみたいなのでこの設定が必要でした。

何だか変てこな設定ですね。空のパスワードで期限が必要だなんて(汗)。

実際の手順

まずは、アカウントの状況確認です。

管理者権限でコマンドプロンプトを起動させ、状況を確認します。
「net accounts」と記述します。
image
パスワードの期限は無制限で、変更期間の日数も「0」です。

次はセキュリティテンプレートの作成です。この段階で、Windows7 HomeEditionでもローカルセキュリティポリシーのある程度の設定もできるんですね

ファイル名を指定で「mmc.exe」を実行
image

[ファイル] – [スナップインの追加と削除]
image
image

「セキュリティ テンプレート」を選択して「追加」
同様に「セキュリティの構成と分析」を選択して「追加」
image
[コンソール ルート] – [セキュリティ テンプレート]のフォルダを右クリックして[新しいテンプレート]をクリック
image
テンプレート名にPassPeriodの記述で「OK」
image
image
[PassPeriod] – [アカウントポリシー] – [パスワードのポリシー]の中にある[パスワードの有効期間]ダブルクリック。

image
有効期限日数を必要日数に変更する。標準値は42日になっています。
image
連動して、変更禁止期間が設定されます。必要な場合は変更します。
image

ローカルポリシーの中にちゃんと「アカウント:ローカルアカウントの空のパスワードの使用をコンソールログオンのみに制限する」も出現しますので、ダブルクリックで、「無効」を選択して、適用およびOKで設定しておきます。
image
[ファイル] – [上書き保存]で保存します。
image
image
[コンソール ルート] – [セキュリティの構成と分析]を右クリックして[データベースを開く] から適当な名前を新規に記述し(ここでは001)、先のコンソールファイル(コンソール001)を開く。すると、下記赤印のようにデータベースが設定されます。
image

最後に、[セキュリティの構成と分析] を右クリックして[コンピュータの構成] をクリックしてコンソールメニューの[ファイル] – [上書き保存]で完了です。

それでは、確認です。ちゃんとパスワードの期限と禁止期間が設定されています。
image

ところで、運用上の注意事項です。

パスワードの期限と禁止期間を設定をしたのはいいのですが、このPCをもともとのパスワードの期限を無制限に戻しておかないとやっかいな場合があるかも知れませんので、これは忘れないようにしないといけません。
やり方は、先に設定した手順のなかの画面で変更すればよいです。

ちなみに、あくまで補足事項ですが、パスワード期限を元に戻すだけなら、管理者のコマンドプロンプトで以下のように
「net accounts /MAXPWAGE:UNLIMITED」
と入力すればOKです。確認は「net accounts」だけですね。
image

以上
ちょっと備忘録な感じを作ってみました。

 - PC_DIY, PC関連

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

  関連記事