Windowsでユーザーアカウントのロックアウトを解除する:Tech TIPS
Windows Serverを不正侵入からシステムを守るには、一定回数以上ログオンに失敗したユーザーのアカウントをロックアウトすればよい。しかし正規のユーザーでも、繰り返しログオンに失敗してロックアウトされることがある。その場合、管理者がユーザーのロックアウトを解除する必要がある。
対象OS:Windows 2000 Server/Windows 2000 Advanced Server/Windows Server 2003
解説
システムへの侵入を図る伝統的な手段の1つとして「辞書攻撃」や「ブルート・フォース攻撃」などがある。これらは、ソフトウェアを利用して、適当なパスワードを機械的に次々と試して、正しいパスワードを見つけ出すというものだ。
こうした攻撃を効果的に防止するには、ログオンに失敗できる回数を制限しておき、立て続けに失敗した場合には、そのアカウントを一時的にロックアウトして無効にしてしまうのがよい。例えば、ログオンに10回失敗したら、そのアカウントを30分間ロックアウトして使用不能にする。こうすれば、ソフトウェアで次々とパスワードを試すのは不可能になる。
アカウントのロックアウトはセキュリティ・ポリシーで設定が可能である。ドメインを管理しているなら、ドメイン・コントローラのコントロール・パネルにある[ドメイン セキュリティ ポリシー]アイテムで設定する。
システムの安全性を高めるためには、アカウントのロックアウトは有効にすべきだが、場合によっては正規のユーザーが立て続けにパスワードを間違えてしまう場合がある。例えば、CapsLockをオンにしたままパスワードを入力して(入力した文字が大文字になる)、CapsLockがオンになっていることに気づかず何度もログオンを繰り返し失敗してしまうなどだ。あるいはメール・ソフトウェアのアカウント設定で間違ったパスワードを設定してしまった場合は、メールの取得失敗を繰り返す度にユーザー認証にも失敗するので、同様にアカウントがロックアウトされる場合がある。
前述したとおり、一度アカウントがロックアウトされてしまうと、一定時間そのアカウントは無効にされるので、たとえその後正しいパスワードを入力したとしても、ログオンには成功しない。問題は、ユーザーからはログオン失敗の原因が簡単には見分けられないことだ(エラー・メッセージには、「ログオンに失敗しました」程度しか表示されない)。
たとえ原因が分かったとしても、アカウントのロックアウトを解除するには管理者権限が必要である。作業は管理者が行わなければならない。
操作方法
ログオンに失敗する原因がアカウントのロックアウトによるものだと予測される場合には、ドメイン・コントローラのコントロール・パネル−[管理ツール]フォルダにある[Active Directoryユーザーとコンピュータ]アイテムを実行する。次に[Users]フォルダをクリックしてユーザー一覧を表示し、ロックを解除したいユーザーのプロパティ・ダイアログを表示して、[アカウント]タブをクリックする。
ユーザーのプロパティ・ダイアログドメイン・コントローラのコントロール・パネル−[管理ツール]−[Active Directoryユーザーとコンピュータ]アイテムを実行し、[Users]フォルダをクリックして操作したいユーザーのプロパティ・ダイアログを表示する。
(1)アカウントがロックアウトされている場合には、このチェック・ボックスがオンになっている。ロックアウトを解除するには、これをオフにすればよい。
アカウントがロックアウトされている場合は[アカウントのロックアウト]チェック・ボックスがオンになっているはずだ(通常はグレーアウト表示)。
●プロパティ・ダイアログから解除する
ロックアウトを解除するには、上記ダイアログのチェック・ボックスをオフにすればよい。
●コマンドラインから解除する
あるいは、コマンドラインからロックアウト状態の確認や解除を行うこともできる。これにはnet userコマンドを利用する。構文は次のとおりだ。
■ロックアウトの確認
net user <ユーザー名>
■ロックアウトの解除
net user <ユーザー名> /active
もしくは
net user <ユーザー名> /active:yes
例えば解除するユーザー名が“testuser”なら、コマンドプロンプト([アクセサリ]−[コマンド プロンプト]を実行)で次のようにする。
C:\>net user testuser
この要求はドメイン XXXXXXXXX.co.jp のドメイン コントローラで処理されます。
ユーザー名 testuser
フル ネーム
コメント
ユーザーのコメント
国コード 000 (システム既定)
アカウント有効 ロック ……(1)
アカウントの期限 無期限
……(以下省略)……
アカウントがロックアウトされていると、上の(1)のように、「アカウント有効」の状態が「ロック」となっている。ロックアウトされていない場合は「有効」となっているはずである。ロックアウトを解除するには、次のように、最後に「/active」もしくは「/active:yes」を付ける(いずれもで意味は同じ)。
net user testuser /active
コマンドラインの利点は、ドメイン・コントローラのコンソール以外のコンピュータからでも簡単にロックアウトを解除できることだ(Active Directory管理ツールの「Active Directoryユーザーとコンピュータ」がインストールされていなくてもよい)。net useコマンドでは、「/domain」オプションを追加すると、ローカル・マシン上のアカウントではなく、ドメインに登録されているアカウントに対してコマンドが実行される。ただしこの場合、ドメインに参加しているコンピュータに対して、ドメインの管理者権限のあるユーザーでログオンしていることが条件である(ワークグループ構成の場合はこのオプションは利用できない)。
net user <ユーザー名> /active /domain
解除するユーザー名が“testuser”なら次のようにする。
net user testuser /active /domain
解除されたかどうか確認するには、次のコマンドを実行すればよい。
net user testuser /domain
■この記事と関連性の高い別の記事
- VPNのアカウント・ロックアウトを有効にする(TIPS)
- Windowsのnet userコマンドの使い方(TIPS)
- システムに自動ログオンする(Windows 7/Windows Server 2008 R2編)(TIPS)
- Windowsでシステムに自動ログオンする方法(ユーザー管理ツール編)(TIPS)
- Active DirectoryドメインでもMicrosoftアカウントで設定を同期する(TIPS)
Copyright© Digital Advantage Corp. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。