アカウントポリシー

[アーティクル]
02/21/2018

アカウントロックアウトポリシーの設定

最終更新日: 2002年12月18日

アカウントロックアウトポリシーは、ドメインまたはローカルシステムから、いつどのようにアカウントをロックアウトするか制御します。このポリシーの説明と実行方法は以下のとおりです。

アカウントのロックアウト期間 : [ロックアウト期間] では、ロックアウトコントロールに違反があった場合に、そのアカウントをロックする期間を設定します。[ロックアウト期間] で、1 ～ 99,999 分までの値を使用し、特定の期間を設定することができます。

拡大表示する

最適なセキュリティポリシーは、ロックアウト期間をゼロに設定し、無期限にそのアカウントをロックすることです。これを実行した場合、管理者のみがそのアカウントのロックを解除できます。こうして、ハッカーによるシステムへの侵入の再試行を防止する一方、ロックアウトされたユーザーが管理者の支援を求めるように仕向けることができます。一般的にこれは有効な方法となります。通常これは以下の点で効果的です。ユーザーと対話することで、管理者はユーザーの間違いを指摘し、問題の回避を支援することができます。

拡大表示する
アカウントのロックアウトのしきい値 : [アカウントのロックアウトのしきい値] で、アカウントをロックアウトする前に許可されるログオンの失敗回数を設定します。ロックアウトコントロールを使用する場合、アカウントの解読防止に有効であると同時に、ユーザーによるアカウントへのアクセスが困難にならないよう、バランスを考慮した値に設定する必要があります。

ユーザーが 1 回で正しくアカウントへアクセスできない主な理由は、パスワードを忘れてしまった場合です。この場合、ユーザーは正しくログオンするまでに何度か失敗することになります。ワークグループユーザーの場合、現在のパスワードが、リモートシステムの予期するパスワードと一致しない場合に、リモートシステムへのアクセスに問題が生じます。この状態が発生した場合、正しいパスワードを入力する旨のメッセージをこのユーザーが受け取る前に、リモートシステムによって数回ログオンに失敗したことが記録されていると考えられます。その理由は、Windows 2000 がリモートシステムへの自動ログオンを試みる場合があるためです。ドメイン環境では、通常この現象は生じません。

ロックアウトのしきい値は、0 ～ 999 であればどの値でも設定できます。ロックアウトのしきい値がゼロに設定されている場合、ログオンの失敗を理由に、アカウントがロックアウトされることはありません。それ以外の値の場合、指定されたロックアウトのしきい値に設定されます。ロックアウトのしきい値が高いほど、ハッカーがシステムに侵入する危険が高くなる点に留意してください。

拡大表示する
アカウントのロックアウトしきい値のリセット : Windows 2000 では、ログオンに失敗するたびに、失敗した回数を追跡するしきい値が増加します。[ロックアウトのしきい値のリセット] 設定では、ロックアウトのしきい値が維持される期間を指定します。このしきい値は、次の 2 種類のうちのいずれかの方法でリセットされます。まず、ユーザーがログオンに成功した場合、しきい値がリセットされます。最後のログオン失敗以降、[ロックアウトのしきい値のリセット] の待機期間が経過した場合も、しきい値がリセットされます。

既定では、ロックアウトのしきい値は 1 分単位で管理されますが、1 ～ 99,999 分までの間でどの値でも設定できます。[アカウントのロックアウトのしきい値] 同様、セキュリティ上のニーズと、ユーザーアクセスのニーズのバランスを考慮した値を選択します。適切な値は、1 ～ 2 時間後です。この待機時間は、ハッカーがアカウントへのアクセスの再試行を諦めざるをえない長さに設定する必要があります。

拡大表示する

注意 : ワークステーションのパスワード保護されたスクリーンセーバーに対するログオンに失敗した場合、ロックアウトのしきい値は増加しません。同様に、サーバーまたはワークステーションが Ctrl + Alt + Delete を使用してロックされた場合の [ロックの解除] ダイアログボックスへのログオン失敗もカウントされません。