ユーザの LockoutTime 属性の値の確認
ユーザをロックアウトさせて実験
小山 三智男
mitchin
Microsoft MVP for Directory Services
実験
ドメインユーザには lockoutTime という属性があり、
アカウントのロックアウトの状態によって値がどうなる
か実験してみました。
ユーザが 3回ログオンに失敗すると 30分間はログオン
できなくなるように設定しておきます。
Dom...
準備:ロックアウト ポリシーの設定 (1/3)
管理ツール「グループ ポリシーの管理」で Default
Domain Policy を編集します。
3
準備:ロックアウト ポリシーの設定 (2/3)
「コンピュータの構成」-「ポリシー」-「Windows
の設定」-「セキュリティの設定」-「アカウント
ロックアウトのポリシー」を選択します。
4
準備:ロックアウト ポリシーの設定 (3/3)
「アカウントのロックアウトのしきい値」のプロパティ
で「このポリシーの設定を定義する」にチェックを入れ
てロックアウトするまでの回数を入力します。
5
初期値
値がないので <未設定> と表示されています。
6
実験1. 3回ログオンに失敗
画面上でロックアウトされているのを確認。
7
実験1.の結果
ロックアウト日時がセットされる。但し値は大きい整
数(ADSI の IADsLargeInteger)なので、プログラム
で日付に変換しないと日時として判らない。
8
実験2. ロック解除後(30分後)
値は変わらないが、ユーザのプロパティ画面のアカウン
トタブにあるロック解除のチェックボックスのテキスト
は変わっているのでロックが解除されたのが判る。
左:ロックアウト中、右:ロック解除後
9
実験3. ロック解除後にログオン後
0 がセットされる。ログオンしなくてもアカウントタブ
で明示的にロックを解除した場合も同じ。
左:明示的にロック解除後、右:ログオン後
10
実験結果から言えること
lockoutTime 属性の値からは、ユーザが現在ロックア
ウトしているかどうかは判りません。
判るのはロックアウトしていないかかロックアウトした
日時のどちらかです。
プログラムからは次のどちらかで確認できます。
A...
詳細や関連情報はブログ等で
Active Directoryデータの "大きい整数"
http://www.slideshare.net/mitchin227/large-integer
http://blogs.wankuma.com/mit...
Upcoming SlideShare
Loading in …5
×

ユーザの LockoutTime 属性の値の確認

1,301 views

Published on

ユーザをロックアウトさせて lockoutTime 属性の値がどう変わるかを実験してみました。

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,301
On SlideShare
0
From Embeds
0
Number of Embeds
30
Actions
Shares
0
Downloads
3
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

ユーザの LockoutTime 属性の値の確認

  1. 1. ユーザの LockoutTime 属性の値の確認 ユーザをロックアウトさせて実験 小山 三智男 mitchin Microsoft MVP for Directory Services
  2. 2. 実験 ドメインユーザには lockoutTime という属性があり、 アカウントのロックアウトの状態によって値がどうなる か実験してみました。 ユーザが 3回ログオンに失敗すると 30分間はログオン できなくなるように設定しておきます。 Domain Admins グループに所属するテスト管理者ユー ザでドメインコントローラにログオンします。 初期値、ロックアウト後、ロック解除後、ログオン成功 後の値を確認します。 2
  3. 3. 準備:ロックアウト ポリシーの設定 (1/3) 管理ツール「グループ ポリシーの管理」で Default Domain Policy を編集します。 3
  4. 4. 準備:ロックアウト ポリシーの設定 (2/3) 「コンピュータの構成」-「ポリシー」-「Windows の設定」-「セキュリティの設定」-「アカウント ロックアウトのポリシー」を選択します。 4
  5. 5. 準備:ロックアウト ポリシーの設定 (3/3) 「アカウントのロックアウトのしきい値」のプロパティ で「このポリシーの設定を定義する」にチェックを入れ てロックアウトするまでの回数を入力します。 5
  6. 6. 初期値 値がないので <未設定> と表示されています。 6
  7. 7. 実験1. 3回ログオンに失敗 画面上でロックアウトされているのを確認。 7
  8. 8. 実験1.の結果 ロックアウト日時がセットされる。但し値は大きい整 数(ADSI の IADsLargeInteger)なので、プログラム で日付に変換しないと日時として判らない。 8
  9. 9. 実験2. ロック解除後(30分後) 値は変わらないが、ユーザのプロパティ画面のアカウン トタブにあるロック解除のチェックボックスのテキスト は変わっているのでロックが解除されたのが判る。 左:ロックアウト中、右:ロック解除後 9
  10. 10. 実験3. ロック解除後にログオン後 0 がセットされる。ログオンしなくてもアカウントタブ で明示的にロックを解除した場合も同じ。 左:明示的にロック解除後、右:ログオン後 10
  11. 11. 実験結果から言えること lockoutTime 属性の値からは、ユーザが現在ロックア ウトしているかどうかは判りません。 判るのはロックアウトしていないかかロックアウトした 日時のどちらかです。 プログラムからは次のどちらかで確認できます。 ADSI の IADsUser.IsAccountLocked プロパティの値 ※DirectoryEntry.NativeObject プロパティをキャスト userAccountControl 属性の値と16の論理積が16か ※ADS_USER_FLAG 列挙体の ADS_UF_LOCKOUT の 値が16 11
  12. 12. 詳細や関連情報はブログ等で Active Directoryデータの "大きい整数" http://www.slideshare.net/mitchin227/large-integer http://blogs.wankuma.com/mitchin/archive/2013/11/29/328258.aspx http://blogs.wankuma.com/mitchin/archive/2013/12/01/328262.aspx lockoutTime属性の値の確認 http://blogs.wankuma.com/mitchin/archive/2013/12/02/328265.aspx Active Directoryデータのプロパティ出力のCOM対応版 http://blogs.wankuma.com/mitchin/archive/2013/12/04/328271.aspx http://blogs.wankuma.com/mitchin/archive/2013/12/05/328273.aspx COM対応版の変更点の説明(大きい整数関連) http://blogs.wankuma.com/mitchin/archive/2013/12/06/328275.aspx ユーザがロックアウトしてるかどうかの判断 http://blogs.wankuma.com/mitchin/archive/2013/12/11/328284.aspx ドメインユーザのプロパティ画面の項目と属性の対応(アカウントタブ) http://blogs.wankuma.com/mitchin/archive/2013/07/23/328014.aspx 12

×