前回の本連載で解説したように、Active Directoryに読み取り専用ドメインコントローラ(以下RODC:Read Only Domain Controller)を追加する際には、パスワードレプリケーションポリシーの設定が必要になる。グループを単位にして、RODCにおけるパスワードキャッシュ情報の保持を許可、あるいは禁止する機能だ。

パスワードレプリケーションポリシーの既定値では、[Allows RODC Password Replication Group]だけが許可対象になっている。つまり、このグループに所属しているメンバーについては、ログオン時に入力したパスワードのキャッシュ情報をRODCが保持するという意味になる。

また、[Denied RODC Password Replication Group]グループは明示的な拒否対象になっているので、このグループに所属しているメンバーについては、ログオン時に入力したパスワードのキャッシュ情報は保持しない。

前回に解説したように、さらに任意のグループを許可、あるいは拒否の対象として追加することができる。また、ユーザーアカウントごとに、RODCにおけるパスワードキャッシュが許可されているか、それとも拒否されているかを確認することもできる。今週は、これらの操作について解説しよう。

パスワードレプリケーションポリシーの変更

Active DirectoryにRODCを追加した後でパスワードレプリケーションポリシーの設定を変更するには、以下の手順を用いる。

  1. [Active Directoryユーザーとコンピュータ]管理ツールを起動する。

  2. RODCになっているコンピュータを選択して、右クリックメニュー、あるいは[操作]メニューで[プロパティ]を選択する。

[Active Directoryユーザーとコンピュータ]管理ツールでRODCのプロパティを表示させる

  1. 続いて表示するダイアログで、[パスワードレプリケーションポリシー]タブに移動する。この画面では、明示的に許可、あるいは拒否を設定したグループの一覧を表示している。

表示するダイアログには、[パスワードレプリケーションポリシー]タブがある。一覧にないグループについては、[追加]をクリックすると表示するダイアログで、グループ名とパスワードキャッシュの可否を指定して追加できる

  1. 一覧にないグループに対してパスワードキャッシュの可否を設定したいたい場合には、[追加]をクリックする。続いて表示するダイアログで、対象となるグループと、パスワードキャッシュの可否を指定すればよい。

パスワードレプリケーションポリシーの動作確認

続いて、個々のユーザーを単位にして、パスワードレプリケーションポリシーが設定した通りに機能しているかどうかを確認する手順について解説する。

  1. [Active Directoryユーザーとコンピュータ]管理ツールを起動する。

  2. RODCになっているコンピュータを選択して、右クリックメニュー、あるいは[操作]メニューで[プロパティ]を選択する。

  3. 続いて表示するダイアログで、[パスワードレプリケーションポリシー]タブに移動して、[詳細設定]をクリックする。

  4. 続いて表示するダイアログには、2枚のタブがある。そのうち[ポリシーの使用]タブでは、パスワードキャッシュの動作状況を確認できる。

パスワードキャッシュの動作状況は、[詳細なパスワードレプリケーションポリシー]ダイアログの[ポリシーの使用]タブで確認できる

  1. 一方、[ポリシーの結果]タブは、ユーザーアカウントごとにパスワードキャッシュの可否を確認する際に使用する。まず[追加]をクリックすると表示するダイアログで、確認したいユーザーアカウントを指定する。

同じダイアログの[ポリシーの結果]タブを使うと、パスワードキャッシュの可否をユーザーごとに確認できる。これは「拒否」の例

  1. パスワードキャッシュの許可対象になっているグループのメンバーであれば、[設定の結果]に[許可]と表示する。そのグループに所属していない、あるいは明示的にパスワードキャッシュの拒否を設定したグループのメンバーであれば、[設定の結果]に[拒否]と表示する。ただし前者の場合、明示的に拒否しているわけではないので[拒否(暗黙的)]となる。

こちらは「許可」の例。パスワードレプリケーションポリシーの設定で「許可」に指定したグループのメンバーだけが、許可対象となる