none
ビルトインユーザを除いた全てのユーザが一括ロックアウトしてしまう RRS feed

  • 質問

  • ビルトインユーザを除いた全てのユーザが一括ロックアウトしてしまう事象が発生しました。

    考えられる原因を教えて頂きたいです。

    なお、詳細情報は以下の通りです。

    OS:Windows7

    アカウントロックのポリシー(アカウントのロックアウトのしきい値):5回

    アカウントロックのポリシー(ロックアウト期間):0

    操作:事象発生前にユーザアカウントの操作を行っていた(ただし、ロックアウトに関わる操作はなし)

    また、アプリケーションログ、システムログには有用となる情報はありませんでした。

    2017年2月3日 10:07

回答

すべての返信

  • チャブーンです。

    ロックアウトの問題は「セキュリティログ」に記録されますから、その方面での確認が必要です。

    ロックアウトの原因は、結局ケースバイケースで、「調査」しないと始まりません。調査方法について書いてあるページがあるようですので、参考にされてはどうでしょうか?

    https://blogs.technet.microsoft.com/jpntsblog/2016/04/19/account-lockout-1/


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年2月4日 5:37
  • ご回答ありがとうございます。

    リンク先のトラブルシューティングを参考にアカウントロックの原因となるログオン失敗のイベント有無を確認しましたが、

    発見できませんでした。

    また、全てのロックアウトが1秒以内に発生しています

    以下にアカウントロックの主な要因別にコメントを記載します。

    (1) ドメインとローカルに同じ名前のユーザー アカウントが存在している環境で、ローカル ユーザーで作業を行ったところ、内部的にドメイン コントローラーに認証する処理が行われて、ドメインのユーザー アカウントがロック アウトした

    ⇒非ドメイン環境のため問題なし。

    (2) サービス、タスク、アプリケーションなどに設定されている起動アカウントのパスワードに不正なパスワードが設定されていた

    ⇒サービス、タスク、アプリケーションなどに起動アカウント情報なし。また、当事象は1回限り。

    (3) 資格情報マネージャーに不正なパスワードの資格情報が登録されていた (資格情報マネージャーの設定は [スタート] – [管理ツール] – [コントロール パネル] – [ユーザー アカウント] の中にあります)

    ⇒可能性があります。ただし、この場合でもログオン失敗イベントが発生するため、問題なしか。

    (4) コンソール ログオンやリモート デスクトップ接続でログオフせずにセッションが残っている状態のまま、パスワードの変更を行った (残留セッションは net session コマンドによる確認することが可能です)

    ⇒可能性があります。ただし、この場合は全てのアカウントが一括ロックアウトするわけではないので、問題なしか。

    (5) ネットワーク ドライブの割り当てを行っている状態で、パスワード変更を行った

    ⇒可能性があります。ただし、この場合でもログオン失敗イベントが発生するため、問題なしか。

    (6) 普段利用している業務用のコンピューター以外にもモバイル端末などでドメインのユーザーを使用しており、モバイル端末や管理サーバーなどに不正なパスワードが登録されていた (この場合は普段利用しているコンピューターをシャットダウンしていても アカウントがロックアウトすることがあります)

    ⇒非ドメイン環境のため問題なし。

    (7) ユーザーによる人為的な入力ミス

    ⇒イベントログの確認した結果見当たらず。

    その他考えられる要因はありますでしょうか。

    2017年2月6日 0:56
  • こんにちは

    「操作:事象発生前にユーザアカウントの操作を行っていた(ただし、ロックアウトに関わる操作はなし)」

    とのことですが、ドメインも絡んでいるので同事象かわかりませんが

    以下の操作を行ったりしてませんでしたか?

    Windows および Windows Server で [別のアカウントの管理] 画面を開いて閉じる操作を繰り返すと Windows のアカウントがロックアウトする

    既にチャブーンさんも提示されていますが、ロックアウトが頻繁に起こるようでしたら調査設定を行うしかないと思います。

    https://blogs.technet.microsoft.com/jpntsblog/2009/03/19/22/

    2017年2月6日 6:20
  • チャブーンです。

    この件ですが、「イベントログ」の確認結果ですが、セキュリティログも含めて確認されたでしょうか?原則的に一番確認する必要があるのは「セキュリティログ」になります。

    で、ひとつ重要なことですが、セキュリティログでの「認証の失敗」や「ロックアウト」の記録は、デフォルトでは行われない設定になっています(Windows 7)。したがって、まずは「アカウントログオンイベントの監査」と「アカウント管理の監査」を有効(成功/失敗の両方を)にするよう、ローカルセキュリティポリシーを変更する必要があります。

    話しはそれからになると思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年2月7日 2:08