解説!アカウントロックアウトポリシー/ロック解除法(Active Directory管理Tips)

ADSelfService Plus | April 11, 2017 | 1 min read

Reading Time: 1 minutes

パスワードクラックとして、昔から使用される手法の一例として「辞書攻撃」や「総当たり攻撃」が挙げられます。これは、コンピューターを使用して、考えられるパスワードを次々と試し、正解を探し出すという攻撃方法です。

近年では、顔認証、ICカード認証、指紋認証、携帯ベースのPhoneFactorなどの二要素認証がパスワードクラックへの対策とされています。これらの技術は、システム全体への変更が必要であるため導入の敷居が高かったり、設備への投資が必要となりますが、簡単で短期間でできる対策の1つとして、同一アカウントを使用して複数回ログオンに失敗した場合、一定期間ログオンができなくなる「アカウント ロックアウト」の設定が有効です。アカウント ロックアウトの設定は、グループポリシーの「アカウント ポリシー」から設定することが可能です。

< アカウント ロックアウトポリシーの設定手順 >
[ コンピューターの構成 ] – [ Windowsの設定 ] – [ セキュリティの設定 ] – [ アカウント ポリシー ] – [ アカウント ロックアウトのポリシー ]

では、ロックアウトされたアカウントを解除するには、どうすればよいのでしょうか。
ロックされたアカウントを解除するには、以下の2つの方法があります。

1)管理ツール「ユーザーとコンピューター」から解除する
ロック状態のユーザーのプロパティ画面を開き、[ アカウント タブ ] に移動すると、「アカウントのロックを解除する」という部分が、以下の画像のように変化しています。

「アカウントのロックを解除する」にチェックを入れ、[ OK ] をクリックすることで、アカウントのロックアウトを解除することが可能です。

2)コマンドラインから解除する
net userコマンドを使用することで、アカウントのロックを解除することが可能です。

net user <ユーザー名> /active
あるいは
net user <ユーザー名> /active:yes

なお、セキュリティの安全性を高めるため、このアカウント ロックアウトポリシーの設定を行うことは有効ですが、アカウントのロック解除には、管理者権限が必要になります。それはつまり、アカウント ロックアウトポリシーを設定した場合、管理者の負担を高めてしまう可能性があるということです。

その理由として、ロックの解除自体は、決して大変な作業ではありませんが、アカウントがロックされた場合、ロックされたユーザーはパソコンにログオンが出来ず、作業が全くできないという状態になります。そのため、管理者側には可能な限り迅速な対応が求められることとなり、本当に注力すべき業務の方に支障がきたす可能性があるためです。

そのような問題を解決するための手段として、最後に、弊社製品の ADSelfService Plus をご紹介させていただきます。

◆ ADSelfService Plusについて

ADSelfService Plusは、アカウントのロック解除を、管理者ではなく「ユーザー自身」で行うことを目的とした製品です。アカウントロックの解除やパスワードの再発行をセルフサービス化することで、管理者の手を煩わすことなく、ユーザー自身の対処を可能とします。

また、ADSelfService Plusはマルチファクター認証を採用しており、以下のいずれか、あるいは複数の認証方式を使用して、アカウントのロックを解除することが可能です。

  1. セキュリティ質問と回答
  2. モバイルやスマートフォンのSMSやメールを経由した認証コード
  3. Googleの認証システムであるGoogle Authenticator

では、ロックされたユーザーが、実際にどのようにしてアカウントロックの解除/パスワードリセットを行うのかを、以下に簡単にご紹介したいと思います。

※クリックすると画像が拡大表示されます。

 

ステップ1:ログオン画面から、[ パスワードのリセット/アカウントのロック解除 ]をクリック
ステップ2:実行する操作を選択
ステップ3:ドメインユーザー名を入力
ステップ4:本人確認に利用するオプションを選択
ステップ5:セキュリティ質問に回答
ステップ6:画像認証を実行
ステップ7:アカウントのロック解除が完了

このように、ADSelfService Plusを使うことで、ユーザーは自分たちで簡単にロックを解除することができ、また、管理者たちは依頼のたびにロック解除を行う必要がなくなることで、本来の業務に注力することが可能となるのです。

もし、本製品に少しでもご興味を持っていただきましたら、以下のリンクより30日間無料で評価できる評価版をダウンロードできますので、是非お試しください。

評価版ダウンロードURL:https://www.manageengine.jp/products/ADSelfService_Plus/download.html

また、評価版を利用する際にインストールガイドなどが記載したスタートアップガイドもございますので、合わせてご参照ください。

スタートアップガイド:http://download.manageengine.jp/adselfservice/ADSelfServicePlus_Startup_Guide_JP.pdf


Tags : Active Directory / ID管理 / アカウントポリシー / アカウントロックアウト / ロック解除
ManageEngine事業部

フィードバックフォーム

当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。

Comments are closed.