Q

Windows XPで使っているアカウントがすぐにロックアウトされてしまう ワークグループ環境でWindowsマシンを利用しています。セキュリティを高めるために,ユーザー・アカウントのロックアウトを設定しているのですが,Windows XPマシンだけ設定した回数よりも早くロックアウトしてしまいます。例えば,4回と設定したはずなのにパスワードの入力を2回間違えただけでロックアウトされるなど,設定した回数の約半分の回数でロックアウトされてしまいます。どうしてなのでしょうか?

A

これは,Windows XPで実装しているユーザー認証の仕組みが原因で発生しています。


△ 図をクリックすると拡大されます
図1●Windows XP/2000でローカルのユーザー・アカウントを作成する際にフル・ネームを入力しないとユーザー名と同じ文字列が自動設定されることが原因

 Windows 2000やWindows XPで作成したローカルのユーザー・アカウントには,アカウント名を示す[ユーザー名]または[名前](どちらも同じ)以外に,[フルネーム]という項目があります。ユーザー・アカウントを新規に作成した際に,[ユーザー名]の項目のみを入力してフル・ネームを入力しないと,[フルネーム]の項目は空白になるのではなくユーザー名と同じ文字列が自動的に登録されます(図1)。

 実はWindows XPでは,ログオン時に本来のアカウント名でログオンに失敗した場合,フル・ネームの欄に記載された文字列をアカウントと見立てて再度ログオン認証を実行するようになっています。つまり,ユーザー名とフル・ネームが同じ文字列になっていると,ログオン・ダイアログから認証を1回実行するたびに,内部的には同じユーザー・アカウントで2回認証を試すことになります。そのため,ロックアウトを設定している場合には,結果として設定の約半分の回数でロックアウトしてしまいます。

ユーザー名と別のフル・ネームを設定
 この問題を解決するには,フル・ネームとユーザー名に異なる文字列を設定すれば大丈夫です。改めて空欄を設定してもよいでしょう。

 ローカル・ユーザーを新規に追加する際に,はじめからフル・ネーム欄を空欄の状態にしたい場合は,net userコマンドでユーザーを登録するようにします。具体的には,コマンド・プロンプトから「net user[ユーザー名][パスワード]/add」と入力すればフル・ネームが空欄の新規ユーザー・アカウントを登録できます。ちなみに,明示的にフル・ネームを入力してユーザーを作成したい場合は「net user[ユーザー名][パスワード]/add /fullname:[文字列]」と実行します。

 今回の現象はWindows XPでしか発生しません。また,ローカル・ユーザー・アカウントでのみ発生する事象で,ドメイン・アカウントでログオンする場合にも該当しません。詳細については,マイクロソフトのサポート技術情報「ユーザーアカウントが早くロックアウトされる」を参照してください(818078)。

小鮒 通成