ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

ADのログインパスワードを変更したら勝手にロックアウトを繰り返すトラブル

会社でパスワードの定期変更をするのは常識となっていますが、少し前に簡単なパスワードを変更させるよりは、難しいパスワードを定着させたほうがいいみたいな話がありました。確かに簡単なパスワードだとリスト攻撃でやられやすいですからね。


さて、ADのログインパスワードを変更したら勝手にロックアウトを繰り返すトラブルが会社で発生しました。


このロックアウトはユーザーがパスワードを間違えたから発生しるのではなく、勝手にロックアウトされるようで、短い期間に接続を繰り返して発生しているようなのです。つまり、利用者は意識せずに裏でロックアウトされている感じです。要因の一つがパスワードを変更したというのが共通事項です。


このことについて、マイクロソフトでもいくつか紹介されています。

https://blogs.technet.microsoft.com/jpntsblog/2016/04/19/account-lockout-1/


アカウント ロックアウトが発生する主な要因

アカウント ロックアウトが発生する原因の中から、マイクロソフトにて、これまでにお問い合わせの多いものを紹介しています。以下は抜粋です。


<アカウント ロックの主な原因>
(1) ドメインとローカルに同じ名前のユーザー アカウントが存在している環境で、ローカル ユーザーで作業を行ったところ、内部的にドメイン コントローラーに認証する処理が行われて、ドメインのユーザー アカウントがロック アウトした

(2) サービス、タスク、アプリケーションなどに設定されている起動アカウントのパスワードに不正なパスワードが設定されていた

(3) 資格情報マネージャーに不正なパスワードの資格情報が登録されていた (資格情報マネージャーの設定は [スタート] - [管理ツール] - [コントロール パネル] - [ユーザー アカウント] の中にあります)

(4) コンソール ログオンやリモート デスクトップ接続でログオフせずにセッションが残っている状態のまま、パスワードの変更を行った (残留セッションは net session コマンドによる確認することが可能です)

(5) ネットワーク ドライブの割り当てを行っている状態で、パスワード変更を行った

(6) 普段利用している業務用のコンピューター以外にもモバイル端末などでドメインのユーザーを使用しており、モバイル端末や管理サーバーなどに不正なパスワードが登録されていた (この場合は普段利用しているコンピューターをシャットダウンしていても アカウントがロックアウトすることがあります)

(7) ユーザーによる人為的な入力ミス


7は当然ありますが、他にもいろんな影響がありますよね。対処法はサイトに説明されていますが、どれがあてはまるかは環境次第なので調査が必要です。これが発生すると業務ができなくなりますので。