none
ドメインアカウントのロックアウトについて RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    Windows2008 Standard SP2を使用しています。

    グループポリシーに設定したアカウントロックアウトのしきい値に達していないのに、アカウントがロックされてしまいます。
    確認した内容については、以下の通りです。

    ①ドメインコントローラのグループポリシーの設定
    ・Default Domain Policy
     ⇒[Windowsの設定][セキュリティの設定][アカウントポリシー][アカウントロックアウトのポリシー]
     ⇒[アカウントのロックアウトのしきい値]:2

    ②ドメインアカウントの作成
    ・test01というアカウントを作成し、所属するグループに「Domain Admins」を追加

    ③タスクスケジューラの設定
    ・適当なタスクを作成します
    ・[全般]タブの、[タスクの実行時に使うユーザーアカウント]に「②」で作成したアカウントを指定
    ・[全般]タブの、「ユーザーがログオンしているかどうかにかかわらず実行する」にチェック
    ・[トリガ]は1回のみ、[操作]はプログラムの開始で、cmd.exeを実行させる

    タスク作成後、[OK]ボタンを押すとドメインの認証画面が表示されます。
    「②」で作成したアカウントの正しいパスワードを入力すると、「ロックアウトされている…」
    ダイアログメッセージが表示されます。

    セキュリティログを確認すると、失敗の監査(ID:4771×2回、4625×2回)の計4回が出力されています。
    ※4771:Kerberos事前認証に失敗しました
    ※4625:アカウントがログオンに失敗しました
    因みに誤ったパスワードを入力すると、失敗の監査(ID:4771×4回、4625×4回)の計8回が出力されます。

    [アカウントのロックアウトのしきい値]の数を増やせばよいのですが、それ以外にこの問題を回避する方法はありますでしょうか。
    これは仕様?バグ?

    • 移動 三沢健二Moderator 2010年1月13日 2:25 Active Directory カテゴリが適切と判断したため (移動元:Windows Server 2008 全般)
    2010年1月12日 8:18
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    negiman さん、こんにちは。

    私の環境でも同様の操作を行い、ネットワークトレースを使用してやり取りの内容を確認してみました。

    [ユーザーがログオンしているかどうかにかかわらず実行する] にチェックを入れます。
    [ユーザーの変更] をクリックし、[タスクの実行時に使うユーザーアカウント] にドメインのユーザーアカウントを指定します。

    タスク作成後に OK ボタンを押すと、直後に Kerberos 認証が発生しており、この時点ではタスク実行時に使うアカウントのパスワードが入力されていないので認証に失敗します。(KDC_ERR_PREAUTH_FAILED)
    さらに、認証がもう一度繰り返され、合計 2 回のパスワード入力間違いが発生していました。(BadPwdCount が 2 回カウントされる)

    この後に認証画面が表示され、ここでパスワードを間違えると、さらに BadPwdCount が 2 回カウントされる。
    といった結果が確認できました。


    詳細については分かりませんが、私の環境でも同じような結果が確認出来たので、OS の実装によるものではないかなと想定されます。

    _____________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク negiman 2010年1月26日 8:26
    2010年1月18日 5:03
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    タスクスケジューラーまで絡ませると問題が複雑化してきそうですので
    一度mmcコンソールのポリシーの結果セットにて②で作成したアカウントが
    意図したポリシーを受けているかを確認してはいかがでしょうか。
    「アカウントロックアウトのしきい値に達していないのに、アカウントがロック」ではなく、
    「意図したとおりのポリシーがアカウントに反映できていない」の可能性を潰しこみ結果を知りたいです。

    2010年1月12日 13:12
    |
  • Question
    サインインして投票
    0
    サインインして投票

    Masato0407さん

    早速のご回答ありがとうございます。

    ポリシーの結果セットにて確認したところ、きちんと設定したポリシーが反映されていました。

    通常のログオン操作であれば、ポリシーに設定した値の回数でパスワードを間違えた場合
    アカウントがロックされるのですが、タスクスケジューラを絡めると意図した回数でロックされません。

    タスクスケジューラを保存する際に出てくる認証画面で、失敗の監査が2回続けて出るのも解せません。
    引き続き、ご教授願えますでしょうか。

    2010年1月13日 4:34
    |
  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは、フォーラムオペレーターの三沢健二です。

    ご投稿されたご質問について、私の知っている範囲内でご説明させていただきますね。

    認証時にドメインアカウントのパスワードを間違っていた場合、そのアカウントの "Badpwdcount" といった属性の値が間違った回数分増えていきます(カウントされます)。

    この "Badpwdcount" がカウントされる回数ですが、その時の処理の内容によっては、認証が複数回繰り返される場合があるようで、一度の操作でも(一度の認証失敗に見えても) "Badpwdcount" が複数回カウントされる場合があります。
    (処理によっては、初回時のみ複数回繰り返され、それ以降は一度のみだったりもします)

    この辺の動作は、ドメインコントローラーの OS や ServicePack、クライアントの OS や処理の内容によって異なる場合があり、また、PDC エミュレーターの役割を持つドメインコントローラーとそれ以外のドメインコントローラーでもカウント時やリセット時の動作が異なるため、かなり複雑です。

    そのため、[アカウントのロックアウトのしきい値] はある程度余裕を持って設定される事をオススメします。


    "Badpwdcount" がカウントされる動作を確認する場合には、リソースキットの "lockoutstatus.exe" を使用すると分かりやすいです。

    - 参考情報
    Windows 2000 および Windows Server 2003 の BadPwdCount 属性のしくみ
    http://support.microsoft.com/kb/900215/ja

    ロックアウトを3回に設定しているのに1回間違えただけでロックアウトされる
    http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20040415/18/

    アカウントがロックアウトされる
    http://blogs.technet.com/jpntsblog/archive/2009/03/19/3215125.aspx

    Account Lockout Status (LockoutStatus.exe)
    http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=D1A5ED1D-CD55-4829-A189-99515b0E90F7


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2010年1月14日 2:39
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    三沢さん

    ご回答、ありがとうございます。

    認証周りはかなり複雑のようですね。

    因みにスタンドアロン環境のマシンにADを導入して検証したところ、
    事象が再現しました。
    ①タスクを保存する際に認証画面が出てくるが、この時点でBadPwdCountが2回
    ②パスワードを間違えると、さらにBadPwdCountが2回(計4回)

    頂きました情報を元に、再度調査してみたいと思います。

    2010年1月14日 6:36
    |
  • Question
    サインインして投票
    0
    サインインして投票

    negiman さん、こんにちは。

    私の環境でも同様の操作を行い、ネットワークトレースを使用してやり取りの内容を確認してみました。

    [ユーザーがログオンしているかどうかにかかわらず実行する] にチェックを入れます。
    [ユーザーの変更] をクリックし、[タスクの実行時に使うユーザーアカウント] にドメインのユーザーアカウントを指定します。

    タスク作成後に OK ボタンを押すと、直後に Kerberos 認証が発生しており、この時点ではタスク実行時に使うアカウントのパスワードが入力されていないので認証に失敗します。(KDC_ERR_PREAUTH_FAILED)
    さらに、認証がもう一度繰り返され、合計 2 回のパスワード入力間違いが発生していました。(BadPwdCount が 2 回カウントされる)

    この後に認証画面が表示され、ここでパスワードを間違えると、さらに BadPwdCount が 2 回カウントされる。
    といった結果が確認できました。


    詳細については分かりませんが、私の環境でも同じような結果が確認出来たので、OS の実装によるものではないかなと想定されます。

    _____________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク negiman 2010年1月26日 8:26
    2010年1月18日 5:03
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    三沢さん

    ご回答、ありがとうございます。

    確かに、OSの実装によるものだと思います。
    (クリーンな環境でも再現するので)

    色々と調査して頂き、ありがとうございました。
    2010年1月26日 8:26
    |