Active Directory のパスワード履歴を特定の時点にリセットすることは可能ですか?
たとえば、2009 年 3 月 1 日以降に変更されたパスワードの履歴は保持したいが、2009 年 3 月 1 日以前に変更されたパスワードの履歴は保持したくない場合はどうすればよいでしょうか。
手伝ってくれてありがとう。
答え1
パスワード履歴を特定の時点にリセットする方法はわかりません。 最後の 3 つのパスワードを保存するようにポリシーを変更すると、最後の 3 つのパスワードは保持されますが、それより前のパスワードは破棄されると思います (ただし、確信はありません)。 パスワードを変更する必要がある頻度が大まかにわかっている場合 (たとえば、ポリシーで 30 日ごとに変更する必要がある場合)、これを使用してパスワード履歴を大まかな時点にリセットできます。
JR
答え2
製品には、あなたが求めている機能を実行するための組み込み機能はありません。「パスワード履歴の強制」機能について言及しており、あなたが言及した日付に設定されたパスワードから「パスワード履歴の強制」ポリシーを「遡及的に」開始することを提案しているものと想定しています。
その日が過去 60 日間 (AD で廃棄の有効期間を変更していない限り、既定では) であれば、問題の日付に作成されたバックアップからディレクトリのサブツリー (または全体) の権限のある復元を実行し、その時点で「パスワード履歴の適用」機能をオンにすることができます。 言及されている日付は 60 日を超えているため、既定ではその期間のバックアップを復元することはできません。
たとえ、復元が許可されている期間内に日付があったとしても、そうすることはお勧めしません。まず、復元の日付から現在の日付までの間に復元されたオブジェクトに加えたすべての変更が失われます。次に、AD の復元は、気軽に取り組めるプロセスではありません。私はこれまで、ラボでは何度も実行したことがあり、ありがたいことに、運用環境では数回しか実行していません。運用環境では、毎回、自分が望んでいることを正確に実行していることを確認するのは、少し緊張する作業です (変更が市場で承認されると、ドメイン内のすべての DC とグローバル カタログ レプリケーション セットにレプリケートされるため)。AD の復元は、それが最後の選択肢である場合にのみ実行することをお勧めします。