連載
» 2003年11月29日 00時00分 UPDATE

Tech TIPS:Windowsでユーザーアカウントのロックアウトを解除する

Windows Serverを不正侵入からシステムを守るには、一定回数以上ログオンに失敗したユーザーのアカウントをロックアウトすればよい。しかし正規のユーザーでも、繰り返しログオンに失敗してロックアウトされることがある。その場合、管理者がユーザーのロックアウトを解除する必要がある。

[小川誉久,デジタルアドバンテージ]
「Tech TIPS」のインデックス

連載目次

対象OS:Windows 2000 Server/Windows 2000 Advanced Server/Windows Server 2003



解説

 システムへの侵入を図る伝統的な手段の1つとして「辞書攻撃」や「ブルート・フォース攻撃」などがある。これらは、ソフトウェアを利用して、適当なパスワードを機械的に次々と試して、正しいパスワードを見つけ出すというものだ。

 こうした攻撃を効果的に防止するには、ログオンに失敗できる回数を制限しておき、立て続けに失敗した場合には、そのアカウントを一時的にロックアウトして無効にしてしまうのがよい。例えば、ログオンに10回失敗したら、そのアカウントを30分間ロックアウトして使用不能にする。こうすれば、ソフトウェアで次々とパスワードを試すのは不可能になる。

 アカウントのロックアウトはセキュリティ・ポリシーで設定が可能である。ドメインを管理しているなら、ドメイン・コントローラのコントロール・パネルにある[ドメイン セキュリティ ポリシー]アイテムで設定する。

 システムの安全性を高めるためには、アカウントのロックアウトは有効にすべきだが、場合によっては正規のユーザーが立て続けにパスワードを間違えてしまう場合がある。例えば、CapsLockをオンにしたままパスワードを入力して(入力した文字が大文字になる)、CapsLockがオンになっていることに気づかず何度もログオンを繰り返し失敗してしまうなどだ。あるいはメール・ソフトウェアのアカウント設定で間違ったパスワードを設定してしまった場合は、メールの取得失敗を繰り返す度にユーザー認証にも失敗するので、同様にアカウントがロックアウトされる場合がある。

 前述したとおり、一度アカウントがロックアウトされてしまうと、一定時間そのアカウントは無効にされるので、たとえその後正しいパスワードを入力したとしても、ログオンには成功しない。問題は、ユーザーからはログオン失敗の原因が簡単には見分けられないことだ(エラー・メッセージには、「ログオンに失敗しました」程度しか表示されない)。

 たとえ原因が分かったとしても、アカウントのロックアウトを解除するには管理者権限が必要である。作業は管理者が行わなければならない。

操作方法

 ログオンに失敗する原因がアカウントのロックアウトによるものだと予測される場合には、ドメイン・コントローラのコントロール・パネル−[管理ツール]フォルダにある[Active Directoryユーザーとコンピュータ]アイテムを実行する。次に[Users]フォルダをクリックしてユーザー一覧を表示し、ロックを解除したいユーザーのプロパティ・ダイアログを表示して、[アカウント]タブをクリックする。

ユーザーのプロパティ・ダイアログ ユーザーのプロパティ・ダイアログ
ドメイン・コントローラのコントロール・パネル−[管理ツール]−[Active Directoryユーザーとコンピュータ]アイテムを実行し、[Users]フォルダをクリックして操作したいユーザーのプロパティ・ダイアログを表示する。
  (1)アカウントがロックアウトされている場合には、このチェック・ボックスがオンになっている。ロックアウトを解除するには、これをオフにすればよい。

 アカウントがロックアウトされている場合は[アカウントのロックアウト]チェック・ボックスがオンになっているはずだ(通常はグレーアウト表示)。

●プロパティ・ダイアログから解除する

 ロックアウトを解除するには、上記ダイアログのチェック・ボックスをオフにすればよい。

●コマンドラインから解除する

 あるいは、コマンドラインからロックアウト状態の確認や解除を行うこともできる。これにはnet userコマンドを利用する。構文は次のとおりだ。

■ロックアウトの確認
net user <ユーザー名>

■ロックアウトの解除
net user <ユーザー名> /active
 もしくは
net user <ユーザー名> /active:yes 



 例えば解除するユーザー名が“testuser”なら、コマンドプロンプト([アクセサリ]−[コマンド プロンプト]を実行)で次のようにする。

C:\>net user testuser
この要求はドメイン XXXXXXXXX.co.jp のドメイン コントローラで処理されます。

ユーザー名                           testuser
フル ネーム
コメント
ユーザーのコメント
国コード                             000 (システム既定)
アカウント有効                       ロック ……(1)
アカウントの期限                     無期限
……(以下省略)……



 アカウントがロックアウトされていると、上の(1)のように、「アカウント有効」の状態が「ロック」となっている。ロックアウトされていない場合は「有効」となっているはずである。ロックアウトを解除するには、次のように、最後に「/active」もしくは「/active:yes」を付ける(いずれもで意味は同じ)。

net user testuser /active



 コマンドラインの利点は、ドメイン・コントローラのコンソール以外のコンピュータからでも簡単にロックアウトを解除できることだ(Active Directory管理ツールの「Active Directoryユーザーとコンピュータ」がインストールされていなくてもよい)。net useコマンドでは、「/domain」オプションを追加すると、ローカル・マシン上のアカウントではなく、ドメインに登録されているアカウントに対してコマンドが実行される。ただしこの場合、ドメインに参加しているコンピュータに対して、ドメインの管理者権限のあるユーザーでログオンしていることが条件である(ワークグループ構成の場合はこのオプションは利用できない)。

net user <ユーザー名> /active /domain



 解除するユーザー名が“testuser”なら次のようにする。

net user testuser /active /domain



 解除されたかどうか確認するには、次のコマンドを実行すればよい。

net user testuser /domain



「Tech TIPS」のインデックス

Tech TIPS

Copyright© 1999-2017 Digital Advantage Corp. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。