ユーザーアカウントとパスワードを操作しようとすると、特に空のアカウントを設定しようとする場合は、少々リスクが伴います。Windowsは、空のパスワードを持つアカウントの作成を禁止するセキュリティポリシーのせいで、初期状態ではそのような操作には対応していません。とはいえ、キオスク端末のセットアップやテストシナリオなど、場合によっては必要な場合もあります。ただし、これは少々面倒なので、本格的な用途にはお勧めできません。
Windowsワークステーションで空のパスワードを持つ新しいユーザーを作成する
これは主にWindows 10または11のローカルユーザーアカウント向けです。管理者権限のコマンドプロンプトでコマンドを使用するのが一般的ですnet user。しかし、ここで注意すべき点があります。Windowsのデフォルトでは、パスワードポリシーによって最小文字数(通常は7文字)が強制されているため、空のパスワードでユーザーを作成できません。そのため、この最小パスワード文字数制限を一時的に無効にしてユーザーを作成し、その後ポリシーを復元する必要があります。
最小パスワード長の無効化
- 管理者としてコマンド プロンプト を開きます (cmd を検索し、右クリックして、管理者として実行)。
- 現在のパスワード ポリシーを次の方法で確認します。最小パスワード長
net accountsを探します。 - 7以上の場合は、一時的に0に設定する必要があります
net accounts /minpwlen:0。これにより、空のパスワードを設定できます。
設定によっては、グループポリシーを微調整する必要があるかもしれません。gpedit.mscで、 「コンピューターの構成」→「Windows の設定」→「セキュリティの設定」→「アカウントポリシー」→「パスワードポリシー」に移動します。「パスワードの最小文字数」を見つけて、0 に設定します。変更を有効にするには、ポリシーの更新または再起動が必要になる場合があります。
空のパスワードでユーザーを作成する
- 走る:
net user test_usr /add * - パスワードの入力を求められた場合は、Enter2 回押します (パスワードなし)。
「パスワードがパスワードポリシーの要件を満たしていません」といったエラーが表示された場合は、パスワードの長さ制限がまだ有効になっているためです。そのため、一時的に無効にしているのです。設定が完了したら、net accounts /minpwlen:7必ず元の値に戻してください。
これで、ログイン画面にアカウントが表示されるはずです。パスワードを入力せずにサインインできます。ただし、Windowsによっては、空のパスワードを入力すると、特定のリモートタスクやスケジュールされたタスクがブロックされる場合があることに注意してください。
このアカウントで物事を実行するのはどうでしょうか?
このアカウントでアプリを起動したり、スケジュールされたタスクを使用したりしようとしていますか? 次のようなエラーが表示されることがあります:
1327: Account restrictions are preventing this user from signing in. For example: blank passwords aren't allowed...これは、Windowsのセキュリティポリシーにより、リモートセッションまたはローカル以外のセッションでのパスワードなしログインが制限されているためです。これを有効にするには、ローカルグループポリシーエディターを起動する必要があります。 「コンピューターの構成」→「Windowsの設定」→「セキュリティの設定」→「ローカルポリシー」→「セキュリティオプション」に移動します。 「アカウント: ローカルアカウントの空白パスワードの使用をコンソールログオンのみに制限する」という設定を見つけて、 「無効」に設定します。
再起動せずにこれらの変更を適用するには、次のコマンドを実行しますgpupdate /force。より永続的な修正が必要な場合は、特にレジストリに慣れている場合は、次のコマンドを実行することもできます。
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" /v LimitBlankPasswordUse /t REG_DWORD /d 0 /fこれにより制限が少し緩和され、次のようなコマンドを実行できるようになります。
runas /user:test_usr cmdただし、マシンまたはドメインの特定のポリシーによって、これらの設定が上書きまたはブロックされる可能性があることに注意してください。通常、ドメインマシンの場合は、ドメインポリシーによってこの種の設定は完全にブロックされます。
パスワードのない Active Directory ドメイン ユーザー
ドメインに参加しているマシンで同じトリックを試してみませんか?簡単ではありません。Active Directoryはパスワードポリシーをかなり厳格に適用します。しかし、管理者権限があれば、少し調整することができます。そのユーザーにPasswordNotRequired属性を設定する必要があります。例えば、以下のようになります。
Get-ADUser j.smith | Set-ADUser -PasswordNotRequired $true次に、net userを使用します。ただし、この調整を行っても、空のパスワードを設定できない場合があります。ドメインレベルのポリシーによってブロックされるため、該当ユーザーのパスワード入力を明示的に無効にしない限り、この設定はブロックされます。これはより高度な設定であり、すぐに面倒なことになる可能性があります。
結論:ドメインでは、セキュリティ上の混乱を避けたいのでなければ、通常は変更する価値はありません。ローカルワークステーションの場合は、ポリシーの調整は有効ですが、それに伴うセキュリティリスクには注意してください。
これで、パスワードなしのユーザーアカウントを有効化するのに十分な手がかりが得られるといいのですが、慎重に行ってください。Windowsは、この問題に対抗するように設計されています。そして、それには十分な理由があります。