先般のインストールマニアックス 3 で建てたサーバーのメンテナンスのために、リモートから接続したらエラーになってしまった。
最初は何事が起こったのかよく分からなかったが、どうやらパスワードの有効期限が切れてしまったらしい。
心当たりは十二分にある。
Server Core でインストールしてしまったために失念していたが、Windows Server のパスワードの有効期限は 42 日が規定値になっている。
今日から 42 日前というと 1 月 3 日だ。
確かにこのころまで、サーバー (実際はホスト OS の Hyper-V Server) を何度もインストールし直していた。
サーバーマネージャーなどの MMC がリモートからでは全く繋がらないので、原因が分かったところで何ともできない。
幸いリモートデスクトップは繋がるので、これで Server Core のコンソールにアクセスして Administrator でログオン。
そして、コマンドプロンプトで以下のコマンドを実行して、作業用 PC で使っているユーザー (リモートからメンテナンスするときの認証で使われるユーザー) のパスワードを変更した。
net user user *
このとき、今現在のパスワードと変更後の新しいパスワードを訊かれるが、これは同じでも構わない。
というよりも実際には同じパスワードで設定せざるを得ないだろう。
ここでパスワードを変更してしまうと、今まさに使っている作業用の PC のパスワードも同じように変更しなくてはならなくなるからだ。
これで無事に再びサーバーのメンテナンスができるようになった。
しかしまた 42 日後にパスワードの有効期限が切れてしまい、同じ羽目になることは避けておきたい。
そこで、サーバーマネージャーを使い、このサーバーに接続して [構成 - ローカルユーザーとグループ - ユーザー] と辿って、当該ユーザーのプロパティを開き [全般] タブにある [パスワードを無期限にする] チェックボックスにチェックを入れておく。
 |
 |
ところで、新しくユーザーを登録したときのパスワードの有効期限などのセキュリティポリシーを編集するときは、通常はローカルセキュリティポリシー エディター (ドメイン環境のときはグループポリシー エディター) が使われる。
しかし Server Core ではローカルセキュリティポリシー エディターは入っていないために、これを使ってセキュリティポリシーを編集することはできない。
また、リモートからセキュリティポリシーを操作することもできない。
Windows Server 2008 R2 Server Core でセキュリティポリシーを編集できるのは SecEdit.exe だけだろう。
SecEdit.exe を使って、新しくユーザーを登録したときのパスワードの有効期限を無期限にする場合は、最初に以下の様な内容のテキストファイルを何らかの方法で作成し、Server Core に任意のファイル名 (例 pwage.inf) で保存する。
[Unicode]
Unicode = yes
[Version]
signature = "$CHICAGO$"
Revision = 1
[System Access]
MaximumPasswordAge = -1
ファイルを保存したら、Server Core のコマンドプロンプトで、ファイルを保存したフォルダーをカレントフォルダーにして、以下のコマンドを実行する。
secedit /import /db pwage.sdb /cfg pwage.inf
secedit /configure /db pwage.sdb
これらのコマンドの実行後、カレントフォルダーに /db パラメーターで指定したファイル (例では pwage.sdb) が作成されるが、これは削除しても構わない。
Server Core の現時点のセキュリティ ポリシーの設定内容を知りたいときは、Server Core のコマンドプロンプトで以下のコマンドを実行すると、指定したファイル (例 pwage.inf) にその内容が保存される。
secedit /export /cfg pwage.inf
関連する記事 (Related posts):
最近のコメント