【なんか遅い！】なぜパスワードのリセットに時間がかかるのか？

Reading Time: 1 minutes

急いでいる時、あるいは外出中に限ってパスワードの有効期限が切れてしまい、PCへのログインや
VPN接続ができないといった経験はないでしょうか。

また、そんな急いでいる社員にせかされて、サーバーにログインしてリセット対応するといった経験は
ないでしょうか。

本ブログでは、エンドユーザー（社員）から依頼のあるActive Directoryのパスワードリセット要求に対して
なぜ対応に時間がかかってしまうのか問題点を確認した上で、ManageEngine ADSelfService
Plus、ADManager Plusを使用した場合のパスワードリセットにかかる時間について紹介いたします。

Active Directoryのパスワードリセットは管理者権限やリセット権限が付与されたユーザーでのみ実行
できる処理です。一般のエンドユーザー（社員）権限では自己解決できないため、Eメール、電話、
紙ベースでの申請・問い合わせがおこなわれます。この問い合わせこそ、もっとも時間がかかります。
もちろん、リセット後にエンドユーザーに新しいパスワードをお伝えする必要がある点でも時間がかかる
でしょう。

もう1点が、実際にリセットを実行するヘルプデスク担当者や管理者のおこなうリセット作業の時間です。
ドメインコントローラーにアクセスし、Active Directoryが提供するコンソールから実行する場合はそれなりに
時間がかかります。以下の実行手順の場合、2分弱の時間を要します。

【Ａｃｔｉｖｅ Ｄｉｒｅｃｔｏｒｙユーザーとコンピューター（ＡＤＵＣ）のコンソールの場合】
 １. ドメインコントローラーに管理者アカウントでログイン
 ２. ＡＤＵＣを開く
 ３. 対象ユーザーを検索して１０文字のパスワードでリセット

＜結果＞ １分 ４８秒
 ログインに時間がかかり、２分弱をかかる結果になりました。

上記をまとめますと以下の問題点（2つ）があります。

● 問い合わせに時間がかかる/リセット後の回答に時間がかかる
● リセット処理の開始から完了までに時間がかかる

ではこれよりADSelfService Plusのセルフパスワードリセットを使用した場合についてご紹介します。
ADSelfService Plusはそれぞれの問題点に対して以下の方法でエンドユーザーのパスワードリセットを
効率化します。

● エンドユーザー自身で自己解決。管理者やヘルプデスクへの申請・問い合わせ不要
● リセットを実行するユーザーが本人であることを確認した上で、ユーザー自身でリセット

実際にどの程度の時間でセルフパスワードリセットを実行できるのか、以下のパターンに分けて計測しました。
※当社検証環境での大まかな計測結果です。

【Ｗｉｎｄｏｗｓログオン画面のリセットリンク】
 １. Ｗｉｎｄｏｗｓログオン画面でリセット/ロック解除リンクをクリックし、「パスワードリセット」を選択
 ２. セキュリティ質問と回答（秘密の質問）で本人確認（２問の回答設定）
 ３. 本人確認後、新しいパスワードを設定

＜結果＞ ４８秒
 質問への回答をしっかり覚えていれば、セキュリティ質問への回答が早く自己解決できました。

Windows ログオン画面 – ADSelfService Plus リセット&ロック解除リンク


 【Ｗｅｂブラウザー（ＡＤＳｅｌｆＳｅｒｖｉｃｅ Ｐｌｕｓ画面）のリセット】
 1. Ｗｅｂブラウザーを開き、ログイン画面左側の「リセット」ボタンをクリック
 2. Ｅメール経由で認証コードを送付して本人確認
 3. メールを開き、送付されたコードで本人確認後、新しいパスワードを設定

＜結果＞ １分 ４秒
 メールサービスを開く手間がセキュリティ質問と回答を使用した場合と比較して、遅くなりました。

本人確認 – 認証コード入力画面

【ＡＤＳｅｌｆＳｅｒｖｉｃｅ Ｐｌｕｓ モバイルアプリのリセット】
 １. モバイルアプリを起動し、「リセット」に移動
 ２. Ｇｏｏｇｌｅ Ａｕｔｈｅｎｔｉｃａｔｏｒを選択
 ３. Ｇｏｏｇｌｅ Ａｕｔｈｅｎｔｉｃａｔｏｒモバイルアプリを起動し、ワンタイムトークンを入力
 ４. 本人確認後、新しいパスワードを設定

＜結果＞ １分 ３６秒
 スマートフォンでのユーザー名、ワンタイムトークン、パスワードの入力に時間がかかりました。

モバイルアプリメインページ（左）、Google Authenticator コード入力ページ（中）、Google Authenticator アプリ（右）

ADSelfService Plusが提供する3つのリセット方法（入口）と3つの本人確認方法を確認しましたが、リセット
方法については差がほとんどありませんでした。一方、本人確認方法は一度外部への確認が必要なEメール
経由での認証コード送付、Google Authenticatorはセキュリティ質問と回答と比較して、ワンステップあるため
時間がかかりました。

ADSelfService Plusのようにエンドユーザーにパスワード管理のセルフサービスを提供できれば….

● 申請・問い合わせにかかる時間と手間
● 管理者からの応答を待つ時間（リセットの処理時間）

を待たずして、エンドユーザー自身で1分弱～1分半程度の時間でリセット対応できます。

補足になりますが、ADManager Plusを使用して管理者やヘルプデスク担当者がパスワードリセット
を実行した場合にかかる時間についても紹介します。

【パスワードのリセット項目［ランダムパスワード］】
 １. 管理者でログインし、「ＡＤ管理」 → 「ユーザー管理」 → 「パスワードのリセット」を開く
 ２. 対象ユーザーを検索し、ランダムパスワードでリセット

＜結果＞ ３０秒

ADManager Plus パスワードリセット

【ユーザー変更のテンプレートを使用してリセット［固定パスワードへの変更］】
 １. オペレーターでログインし、「ＡＤ管理」 → 「ユーザー管理」 → 「シングルユーザーの変更」を開く
 ２. 対象ユーザーを検索し、「ユーザープロパティの変更」ウィンドウを開く
 ３. テンプレートを選択し、事前設定している固定パスワードでリセット

＜結果＞ ３２秒