サイトアイコン Windows Active Directory

アクティブディレクトリアカウントロックアウトポリシー

アカウントロックアウトポリシーとは何ですか?

アカウントロックアウトポリシーは、管理者がユーザーアカウントをいつ、どのくらいの期間、ロックアウトするかを決定するための組み込みセキュリティポリシーです。これにより、ユーザーが間違ったパスワードを入力した場合の動作が決定されます。攻撃者がブルートフォースアタックや辞書攻撃を使用してユーザーのパスワードを推測し、解読することを防ぎます。これは、コンピューターのローカルセキュリティポリシーから、またはネットワーク管理者によってグループポリシーガイダンスコンソールで設定することができます。

アクティブディレクトリでアカウントロックアウトポリシーを変更する方法

アカウントロックアウトポリシーの設定を編集および変更するには、以下の手順に従います:

アカウントロックアウトポリシーの下で利用可能な三つの設定:

1. アカウントロックアウト期間

このセキュリティ設定は、アカウントがロックアウトされてから自動的にアンロックされるまでの分数を決定します。0分から99,999分の間で設定することができます。この設定を適用するには、アカウントロックアウトしきい値が定義されている必要があります。

値が0に設定されている場合、そのアカウントは自動的にアンロックされません。管理者が明示的にアカウントをアンロックする必要があります。デフォルトではこの設定は無効です。アカウントをアンロックするには:

2. アカウントロックアウトしきい値

このセキュリティ設定は、ユーザーアカウントがロックアウトされる前に許可される失敗したログオン試行の回数を決定します。

例えば、攻撃者が初めて間違ったパスワードを入力した場合、ユーザーオブジェクトのbadPwdCount属性は1に設定されます。攻撃者が間違ったパスワードを続けて入力すると、アカウントロックアウトしきい値に達するまでbadPwdCountは1ずつ増加し、その時点でアカウントはロックされます。ロックアウトされたアカウントは、アカウントロックアウト期間が満了するか、または管理者が明示的にアカウントをアンロックするまではログオンに使用できません。

値は0から999の間で設定することができます。値が0に設定されると、そのアカウントは決してロックアウトされません。デフォルト値は0です。

3. ロックアウトカウンターのリセット後

このセキュリティ設定は、失敗したログオン試行があった後、失敗したログオンカウンターが0として設定されるべき分数を決定します。1分から99,999分の間で値を設定することができます。この設定を適用するには、アカウントロックアウトしきい値が定義されている必要があります。

アカウントロックアウトしきい値が定義されている場合、ロックアウトカウンターのリセット後の値は、ロックアウトしきい値期間以下でなければなりません。

アカウントロックアウトポリシーのベストプラクティス

アカウントロックアウトポリシーの設定は最大限の注意を払って実施すべきです。理想的には、各ポリシーに最適な値が定義されており、セキュリティと利便性の良いバランスを取るべきです。以下は参考になる値です:

モバイルバージョンを終了