| [System Environment] | ||||||||||||
ユーザー・アカウントのロックアウトを解除する
|
||||||||||||
|
||||||||||||
| 解説 |
システムへの侵入を図る伝統的な手段の1つとして「辞書攻撃」や「ブルート・フォース攻撃」などがある。これらは、ソフトウェアを利用して、適当なパスワードを機械的に次々と試して、正しいパスワードを見つけ出すというものだ。
こうした攻撃を効果的に防止するには、ログオンに失敗できる回数を制限しておき、立て続けに失敗した場合には、そのアカウントを一時的にロックアウトして無効にしてしまうのがよい。例えば、ログオンに10回失敗したら、そのアカウントを30分間ロックアウトして使用不能にする。こうすれば、ソフトウェアで次々とパスワードを試すのは不可能になる。
アカウントのロックアウトはセキュリティ・ポリシーで設定が可能である。ドメインを管理しているなら、ドメイン・コントローラのコントロール・パネルにある[ドメイン セキュリティ ポリシー]アイテムで設定する。
システムの安全性を高めるためには、アカウントのロックアウトは有効にすべきだが、場合によっては正規のユーザーが立て続けにパスワードを間違えてしまう場合がある。例えば、CapsLockをオンにしたままパスワードを入力して(入力した文字が大文字になる)、CapsLockがオンになっていることに気づかず何度もログオンを繰り返し失敗してしまうなどだ。あるいはメール・ソフトウェアのアカウント設定で間違ったパスワードを設定してしまった場合は、メールの取得失敗を繰り返す度にユーザー認証にも失敗するので、同様にアカウントがロックアウトされる場合がある。
前述したとおり、一度アカウントがロックアウトされてしまうと、一定時間そのアカウントは無効にされるので、たとえその後正しいパスワードを入力したとしても、ログオンには成功しない。問題は、ユーザーからはログオン失敗の原因が簡単には見分けられないことだ(エラー・メッセージには、「ログオンに失敗しました」程度しか表示されない)。
たとえ原因が分かったとしても、アカウントのロックアウトを解除するには管理者権限が必要である。作業は管理者が行わなければならない。
| 操作方法 |
ログオンに失敗する原因がアカウントのロックアウトによるものだと予測される場合には、ドメイン・コントローラのコントロール・パネル−[管理ツール]フォルダにある[Active Directoryユーザーとコンピュータ]アイテムを実行する。次に[Users]フォルダをクリックしてユーザー一覧を表示し、ロックを解除したいユーザーのプロパティ・ダイアログを表示して、[アカウント]タブをクリックする。
| ユーザーのプロパティ・ダイアログ | |||
| ドメイン・コントローラのコントロール・パネル−[管理ツール]−[Active Directoryユーザーとコンピュータ]アイテムを実行し、[Users]フォルダをクリックして操作したいユーザーのプロパティ・ダイアログを表示する。 | |||
|
アカウントがロックアウトされている場合は[アカウントのロックアウト]チェック・ボックスがオンになっているはずだ(通常はグレーアウト表示)。
■プロパティ・ダイアログから解除する
ロックアウトを解除するには、上記ダイアログのチェック・ボックスをオフにすればよい。
■コマンドラインから解除する
あるいは、コマンドラインからロックアウト状態の確認や解除を行うこともできる。これにはnet userコマンドを利用する。構文は次のとおりだ。
■ロックアウトの確認 |
例えば解除するユーザー名が“testuser”なら、コマンドプロンプト([アクセサリ]−[コマンド プロンプト]を実行)で次のようにする。
C:\>net user testuser |
アカウントがロックアウトされていると、上ののように、「アカウント有効」の状態が「ロック」となっている。ロックアウトされていない場合は「有効」となっているはずである。ロックアウトを解除するには、次のように、最後に「/active」もしくは「/active:yes」を付ける(いずれもで意味は同じ)。
net user testuser /active |
コマンドラインの利点は、ドメイン・コントローラのコンソール以外のコンピュータからでも簡単にロックアウトを解除できることだ(Active Directory管理ツールの「Active Directoryユーザーとコンピュータ」がインストールされていなくてもよい)。net useコマンドでは、「/domain」オプションを追加すると、ローカル・マシン上のアカウントではなく、ドメインに登録されているアカウントに対してコマンドが実行される。ただしこの場合、ドメインに参加しているコンピュータに対して、ドメインの管理者権限のあるユーザーでログオンしていることが条件である(ワークグループ構成の場合はこのオプションは利用できない)。
net user [ユーザー名] /active /domain |
解除するユーザー名が“testuser”なら次のようにする。
net user testuser /active /domain |
解除されたかどうか確認するには、次のコマンドを実行すればよい。
net user testuser /domain |
|
||||||||||||||||||||||||||||
| 「Windows TIPS」 |
TechTargetジャパン
- Windows 8の新しいスタート画面を理解する (2012/9/13)
Windows 8ではスタートボタンを廃し、スタート画面からアプリを起動するようになった。その使い勝手は? ショートカットキーの一覧も掲載 - 社内システムとクラウドをつなぐ最新のID連携手法 (2012/9/12)
IT管理者に求められるGoogle AppsやOffice 356などと社内システムとのID連携の導入。その実現方法は? まずは最新の概念や用語、技術を解説 - 第331話 メガネ型コンピュータ (2012/9/11)
新世代型コンピュータとして期待を集める「メガネ型コンピュータ」。多くの中高年サラリーマンを血も凍る瞬間から救う機能は、これだ! - Windows 8で必要なMicrosoftアカウントを作成する (2012/9/7)
マイクロソフトのさまざまインターネット・サービスを利用するために必要な「Microsoftアカウント」。Windows 8を使う上で必須のものとなる。その作成方法は?
|
|
キャリアアップ
- - PR -
イベントカレンダー
- - PR -
お勧め求人情報
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
ホワイトペーパー(TechTargetジャパン)
「ITmedia マーケティング」新着記事
ゲーミフィケーション:ゲーム以外の分野にゲームの要素を持ち込む
早稲田大学 恩藏直人教授がマーケティングの最新キーワードを解説する。第1回は「ゲーミ...
ゲーミフィケーションとは何か?(前編)
ループス・コミュニケーションズの岡村健右氏が解説するゲーミフィケーション入門。言葉...
CTRとCVRだけでは広告主は満足しない
ディスプレイ広告の運用指標に関して、広告出稿サイドと媒体サイドでは大きなギャップが...
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。