複数のドメイン・コントローラ(DC)が存在する環境でアカウント・ロックアウトのポリシーを使用しています。ロックアウトまでの回数を3回に設定しているのに,パスワードを1回間違えただけでロックアウトしてしまうことがあります。調査したところ,いったんロックアウトしたユーザー・アカウントを解除した後に発生するようです。ロックアウトを解除すれば,また3回まで間違えても大丈夫だと思うのですが,どうしてなのでしょう?
Active DirectoryのDCがサービス・パック(SP)2以前のものを使っているのが原因だと思われます。
Windows 2000のActive Directory環境では,パスワードを間違えた回数(厳密には最後にログオンが成功してから間違ったパスワードが試行された回数)をbadPwdCountというパラメータを使って各DCに保持しています。パスワードを間違える度に,このbadPwdCountは1ずつカウントアップしてきます(図1)。 そして,ポリシーで設定したしきい値に達するとアカウントをロックアウトし,ロックアウト・ステータス(ロックアウトされたあるいは解除されたという情報)という別のパラメータを他のDCに複製します。これにより,どのDCを使ってもログオンができなくなるわけです。 管理者があるDC上でロックアウトを解除すると,そのDCのbadPwdCountを“0”にリセットすると同時に,ロックアウト・ステータスを解除状態にして他のDCに複製することで再びログオン可能になる仕組みです。
SP2以前のDCでは badPwdCountを初期化する[ロックアウトカウントのリセット]の値を比較的小さく設定していれば,すぐに自動的にリセットされるため,あまり問題にはなりません。しかし,例えば[アカウントのロックアウトのしきい値]を3回に設定した場合は,[ロックアウトカウントのリセット]は[提案された値]である“30分後”をそのまま設定してしまうケースが多いでしょう(図2)。
この場合は,badPwdCountが“0”にリセットされるのは30分後になります。そのため,もしあるアカウントがロックアウトしてから,ロックアウトが解除されて再びログオンするまでに30分たっていない場合には,パスワードを1回間違えただけでロックアウトが起こり得るのです。 また,サーバー管理者などが短時間で複数のDCにログオンするようなケースでも要注意です。この場合,badPwdCountがあちこちのDCでカウントアップされたままになるため,しきい値に達したDCとロックアウトが解除されるDCが異なってしまう可能性が非常に高くなります。 さらに,1つのユーザー・アカウントを複数のユーザーが同時に利用している場合も,他のユーザーがパスワードを間違えたことや,ロックアウトした/ロックアウトを解除したことを認識できないためにこの問題が発生しやすいと思われます。
SP2とSP1以前の間でも このように,今回の問題はSP2以前のDCを使っている場合に発生しますが,厳密に見てみるとSP2とSP1以前の間でも,パスワード確認の処理プロセスが異なるために発生する現象に差が出てきます。 SP1以前のWindows 2000では,ユーザーのログオンごとに各DCがPDCエミュレータに毎回パスワード情報を確認します。このため,PDCエミュレータはドメイン全体でのbadPwdCountの累計を保持することになります。例えば,間違ったパスワードでDC1に2回,DC2に1回ログオン要求をすると,PDCエミュレータのDC上ではそれらが累計されて,しきい値が3回の設定ならばロックアウトしてしまいます。 これに対し,SP2では各DCに初回ログオン要求した際にしかPDCエミュレータには確認しません。このため,同じように間違ったパスワードでDC1に2回ログオン要求した後でも,別のDC2にログオン要求した場合には,そこで新たに3回,合わせて最大で5回間違ってようやくアカウントがロックアウトされることになります。 ロックアウトを解除する場合も,SP1以前ではPDCエミュレータとなっているDCをきちんと解除しないとbadPwdCountが3のままのPDCエミュレータに毎回確認するため,1度間違っただけで再度ロックアウトされてしまいます。SP2の例では,どのDCでロックアウトを解除したとしても,その他のDC上のbadPwdCountは2になったままであるため,解除後のログオンがそこで処理された場合,パスワードを1回間違えただけでロックアウトされます。
DC上のbadPwdCount値は 例えば,ADSI Editならば起動してから調べたいDCに接続し,CN=Usersから参照したいユーザーを選びます(図3)。次に,その参照するユーザーのプロパティを開き,[Select which properties to view:]のプルダウンから[badPwdCount]を選択すると,[Value(s):]のところに現在の値が表示されます。 ただし,ADSI Editを使ってこれらの作業をする場合には,誤って不適切な値を設定しないよう操作には十分注意してください。 この問題はマイクロソフトのサポート技術情報「JP278299,ロックアウトされたアカウントを別のDCでリセットすると,パスワードを1回間違えただけで再びロックアウトされる」として紹介されています。前述したようにDCにSP3を適用した環境ならばbadPwdCountも複製されるようになっており問題は解決しています。 今回取り上げたロックアウト情報の複製動作に関しては,Microsoft Windows 2000 Serverリソース・キットの「分散システムガイド(上)第6章Active Directoryの複製」の緊急複製の項を参照してください。 (天野朋樹)
|
ロックアウトを3回に設定しているのに1回間違えただけでロックアウトされる
あなたにお薦め
今日のピックアップ
-
社労夢で個情委が注意喚起、57万事業所が「認識なく従業員データ委託」の危うさ
-
LLMは「複合AIシステム」へ進化する、データブリックスCTOの主張を読み解く
-
リモート勤務が前提に、コロナが変えた客先「常駐」の実態
-
営業の7割が生成AIを活用、デジタル施策を現場に浸透させる日清食品流「虎の巻」
-
液晶一体型デスクトップもノート型からの買い替え候補、省スペースで大画面
-
HTMLやCSSを熟知していなくてもできる、AIにWebページをつくってもらおう
-
Azure仮想マシンの周りにある無駄リソース、一掃してコストを削減しよう
-
スマホのバッテリー容量はなぜ低下する? 劣化を加速する3つのNG行為
-
D&I・副業・新規事業で「最先端」を走れ、情シスの社内プレゼンスを上げる正攻法
-
好みに合わせてボールの支えを交換、エレコムのトラックボール「M-IT11DR」を試す
-
ミニPCの作業環境を周辺機器やアクセサリーで快適に、設置方法も工夫しよう
-
スマホの平均使用は4年以上に、バッテリーの劣化とOSのサポート期間が寿命を左右
注目記事
おすすめのセミナー
-
「仮説立案」実践講座
例えば「必要な人材育成ができていない」といった課題に、あなたならどう取り組みますか? このセミナ...
-
CIO養成講座 【第35期】
業種を問わず活用できる内容、また、幅広い年代・様々なキャリアを持つ男女ビジネスパーソンが参加し、...
-
改革リーダーのコミュニケーション術
プロジェクトを成功に導くために改革リーダーが持つべき3つのコミュニケーションスキル—「伝える」「...
-
パワポ資料が見違える「ビジネス図解」4つのセオリー
インフォグラフィックスとは、形のない情報やデータなど伝えたいことを分かりやすい形で表現する技法で...
-
間違いだらけの設計レビュー
本セミナーでは、現場で多く見られる間違ったレビューの典型例を示し、そうならないための現場の改善策...
-
オンライン版「なぜなぜ分析」演習付きセミナー実践編
このセミナーでは「抜け・漏れ」と「論理的飛躍」の無い再発防止策を推進できる現場に必須の人材を育成...
-
問題解決のためのデータ分析活用入門
例えば「必要な人材育成ができていない」といった課題に、あなたならどう取り組みますか? このセミナ...
-
業務改革プロジェクトリーダー養成講座【第16期】
3日間の集中講義とワークショップで、事務改善と業務改革に必要な知識と手法が実践で即使えるノウハウ...
注目のイベント
-
【4月25日】ハイパーバイザーの基本を学ぶ、参加者にはもれなくプレゼント進呈
2024年4月25日(木)
-
プラチナフォーラム 2024 Spring
2024年 4月 26日(金) 13:00~17:00(予定)
-
日経クロステックNEXT 関西 2024
2024年5月16日(木)~5月17日(金)
-
日経ビジネスCEOカウンシル
2024年5月16日(木)17:00~19:50
-
VUCA時代に勝ち残る戦略的サプライチェーン構築に向けて
2024年 5月 24 日(金) 10:00~16:20
-
人手不足を乗り越える 日本の産業界成長のシナリオ2024
2024年5月30日(木)10:20~17:45
-
キャリア・オーナーシップが社会を変える
2024年6月3日(月)~6月5日(水)
-
DX Insight 2024 Summer
2024年6月4日(火)、5日(水)
-
デジタル立国ジャパン2024
2024年6月10日(月)、11日(火)
-
DIGITAL Foresight 2024 Summer
2024年6月13日(木)~8月8日(木)16:00~17:00 ※毎週火・木曜開催予定
おすすめの書籍
-
ソフトバンク もう一つの顔 成長をけん引する課題解決のプロ集団
ソフトバンクにはモバイルキャリア事業以外のもう一つの顔が存在する。本書ではキーパーソンへのインタ...
-
対立・抵抗を解消し合意に導く 改革リーダーのコミュニケーション術
本書は、改革リーダーに必須のコミュニケーション術を3つのスキルの観点からまとめ上げたものです。今...
-
もっと絞れる AWSコスト超削減術
本書ではコスト課題を解決するため、AWSコストを最適化し、テクニックによって削減する具体策を紹介...
-
優秀な人材が求める3つのこと 退職を前提とした組織運営と人材マネジメント
「学生に人気のコンサルであっても、大手企業であっても、せっかく獲得した人材が数年で辞めてしまう...
-
Web3の未解決問題
ブロックチェーン技術を主軸とするWeb3の技術について、現在の社会制度との摩擦と、その先にある新...
-
ロボット未来予測2033
ロボットの用途・市場はどう拡大していくのか。AI実装でロボットはどこまで進化するのか。技術の進展...
日経BOOKプラスの新着記事
日経クロステック Special
What's New
経営
- 「クラウド時代のあるべき運用」を熱く議論
- 大企業にもキントーンの導入が進む理由
- 製造業DX「データドリブン経営成功のシナリオとは」
- NTTドコモ支援の実践型教育プログラム
- ジェイテクトエレクトロニクスのDX事例
- DXを成功に導くITインフラとは?
- NTTデータに優秀なデジタル人財が集まる理由
- オリックス銀行×富士通時田社長 特別鼎談
- ERPプロジェクト≫IT人財の必須条件は
- 脱レガシー案件≫SIerに必要な人財像は
- イノベーションの起爆剤
- 3段階で考える、DXで企業力を高める方法
- 大規模プロジェクトでPMが注意すべき点は
- 大阪・名古屋エリアのDXが注目される理由
- 力点は「未来予測」へ:データ利活用の勘所
- 生成AI活用でSAP BTPの価値が進化
- ServiceNowでDXを加速≫方法は
- SAPプロジェクトの全体像をいかに描くか
- データドリブン基盤でCFP算出作業を短縮