Windows Serverのシステムを不正侵入から守るためにも、一定回数以上ログオンに失敗したユーザーのアカウントをロックアウトする必要があります。

ですが、繰り返しログオフをしてしまうと、ログアウトになる場面があるので、管理者がログアウトをします。

「辞書攻撃」や「ブルート・フォース攻撃」といった手段も有名で、これはソフトウェアを利用して、適当なパスワードを試していき、正しいパスワードを見つけていくというものです。

不正侵入かされないために、ログオンに失敗できる回数を制限し、失敗し続けた場合は、そのアカウントを一時的にロックアウトして無効にしましょう。

ロックアウトというのは　

ログイン時にパスワードを連続して間違えることで、ロックアウト機能が働いて、そのログインユーザー名でのログインが禁止されてしまいます。

 

ロックアウトされたユーザーは、正しいパスワードを入力したときも認証失敗となるので、一定時間が経過してロックアウトが解除されるか、管理者またはスーパーバイザーがロックアウト機能を解除するまで、機器を使用することができません。

 

ユーザー認証でロックアウト機能を使用するには、認証方法をベーシック認証にして、ほかの認証選択時では、スーパーバイザーと各管理者だけがロックアウトの対象となり、ユーザーには機能しない。

ロックアウト機能を操作するやり方

ログオンに失敗する原因がアカウントのロックアウトによる場合　

ドメイン・コントローラのコントロール・パネル－［管理ツール］フォルダにある［Active Directoryユーザーとコンピュータ］アイテムを実行。

次に［Users］フォルダをクリックしてユーザー一覧を表示し、ロックを解除したいユーザーのプロパティ・ダイアログを表示して、［アカウント］タブをクリックします。

アカウントがロックアウトされている場合［アカウントのロックアウト］チェック・ボックスがオンになっていると思います。

ロックアウトを解除するには、上記ダイアログのチェック・ボックスをオフにする。

マンドラインから解除するか、コマンドラインからロックアウト状態の確認や解除を行うこともでき、これにはnet userコマンドを利用する。

コマンドラインからの解除

ロックアウトの確認
net user ＜ユーザー名＞

ロックアウトの解除
net user ＜ユーザー名＞ /active
　もしくは
net user ＜ユーザー名＞ /active:yes

解除するユーザー名が“testuser”なら、コマンドプロンプト（［アクセサリ］－［コマンド プロンプト］を実行）

C:\>net user testuser
この要求はドメイン XXXXXXXXX.co.jp のドメイン コントローラで処理されます。

ユーザー名 testuser
フル ネーム
コメント
ユーザーのコメント
国コード 000 (システム既定)
アカウント有効 ロック ……①
アカウントの期限 無期限

アカウントがロックアウトされていると、①の「アカウント有効」の状態が「ロック」となります。

ロックアウトされていない場合は「有効」となっているはずなので、ロックアウトを解除するには、最後に「/active」もしくは「/active:yes」を付ける（いずれもで意味は同じです）。

net user testuser /active

ドメイン・コントローラのコンソール以外のコンピュータからでも簡単にロックアウトを解除できるので、（Active Directory管理ツールの「Active Directoryユーザーとコンピュータ」がインストールされていなくてもいい）。

net useコマンドでは、「/domain」オプションを追加することで、ローカル・マシン上のアカウントではなく、ドメインに登録されているアカウントに対してコマンドが実行されます。

この場合、ドメインに参加しているコンピュータに対して、ドメインの管理者権限のあるユーザーでログオンしていることが条件になります。（ワークグループ構成の場合はこのオプションは利用できません）。

net user ＜ユーザー名＞ /active /domain

解除するユーザー名が“testuser”なら次のようにします。

net user testuser /active /domain

解除されたかどうか確認するには、次のコマンドを実行します。

net user testuser /domain