BadPwdCountの挙動

BadPwdCountはインストールCDに付属しているSupport ToolsのADSI Editを使い確認できるがWindows Server 2003環境の挙動は複雑である。

（質問）

WindowsServer2003環境におけるアカウントロック（BadPwdCount）の挙動について

 

WindowsServer2003環境におけるアカウントロック（BadPwdCount）の挙動について不明点がございます。

 

以下の構成でドメインを構築しております。

・DC1：WindowsServer2003 R2SP2（PDCエミュレータ）

・DC2：WindowsServer2003 R2SP2

 

アカウントロックのポリシーに関しては以下の通りになっております。

・アカウントロックアウトのしきい値：5回ログオンに失敗

・ロックアウトカウンタのリセット：30分後

・ロックアウト期間：0

 

ユーザの認証失敗の際にBadPwdCountという値が、DC1（PDCエミュレータ）で増加し、DC2にコピーされる。

その値が『アカウントロックアウトのしきい値』に達した場合アカウントロックされる。という認識でおります。

 

①ログオンの成功にてBadPwdCountがクリアされるとのことだったのですが、

スクリーンセーバによる画面ロックから復帰する際にもBadPwdCountはクリアされるのでしょうか。

 

②ログオンの成功にてBadPwdCountがクリアされるとのことだったのですが、

DC2に認証を行って成功し、BadPwdCountがクリアされた場合、DC1側のBadPwdCountはクリアされるのでしょうか。

 

ご回答よろしくお願いいたします

 

－－－－－－－－－－－－－－－－－－－－－－－－－－－
（質問・続）

試験問題作成委員会様、××××様

 

ご回答ありがとうございます。

一度回答としてマークさせていただいたのですが、実際にALtool等を導入してBadPwdCountを確認しながら動作確認をした中で腑に落ちない点がありましたので再度確認させてください。

 

以下の動きは確認できました。

 

１．【DC2にログイン認証 → 失敗】×3

→　DC1(3)：DC2(3)　※()内の数字はBadPwdCount

 

２．【DC2にログオン認証 → 成功】

→　DC1(0)：DC2(0)　※()内の数字はBadPwdCount

 

３．【DC2にログオン認証 → 失敗】×2

→　DC1(2)：DC2(2)　※()内の数字はBadPwdCount

 

確かに複製されているように見えます。

 

しかし以下のような事象ではBadPwdCountにずれが生じるようなのですが、これが正しい動作になるのでしょうか？

 

①【DC2にログイン認証 → 失敗】×3

→　DC1(3)：DC2(3)　※()内の数字はBadPwdCount

 

②【DC1にログオン認証 → 成功】

→　DC1(0)：DC2(3)　※()内の数字はBadPwdCount

 

③【DC2にログイン認証 → 失敗】×2

→　DC1(2)：DC2(5)　※()内の数字はBadPwdCount

 

・PDCでログオン成功した場合、DCには値は複製されない。

・PDCの値を複製ではなく、DCでインクリメントしている。

 

この動作であれば問題は修正されていないような気がするのですが…

私の認識のズレ等あるのでしょうか

 

たびたび申し訳ございませんが、ご教授よろしくお願いいたします。

 

－－－－－－－－－－－－－－－－－－－－－－－－－－－
（回答）

こんにちは、フォーラムオペレーターの○○○○です。

 

少し私の方でフォローさせていただきますね。

 

試験問題作成委員会さんが案内されていたKB278299の内容についてですが、ロックアウトされたアカウントがリセットされた際の動作になりますので、今回検証された動作（認証が成功した場合の動作）とは異なのではと思われます。

 

なお、BadPwdCount がカウントされる動作は複雑ですので、もし検証されるのであれば、PDC を含めて 3 台以上で検証された方が良いと思います。

（"PDC で認証が行われた場合の動作" "PDC 以外の DC で認証が行われた場合の動作" "それ以外の DC の動作" を確認する必要がありますので）

 

また、認証が失敗した際に場合によっては自動的に何度かリトライされる場合がありますので（一度の操作で BadPwdCount が 2 以上カウントされる場合がある）、「アカウントのロックアウトのしきい値」が 5 という設定はかなり厳しい設定となり、一度の認証失敗でロックアウトされる事もあり得ます。

（この辺の動作はパケットをキャプチャすると分かると思います）

 

補足です：

私が以前検証して確認出来た動作について記述させていただきます。

 

ロックアウトされたアカウントがリセット（ロックアウトが解除）された場合には、ロックアウトがリセットされた事が全ての DC 上に反映され全ての DC 上の BadPwdCount も 0 になるはずです。

（KB278299 に記載されている動作ですね。環境によっては反映されるまでに時間がかかる場合もあります）

 

認証が成功した場合は、認証が行われた DC 上と PDC 上の BadPwdCount が 0 になるはずです。

PDC 上で認証が行われた場合は、 PDC 上の BadPwdCount のみが 0 になるはずです。

その他の DC 上の BadPwdCount は変化しません。

（こちらが今回検証されていた動作ですね。注意点としては「ロックアウト カウンタのリセット」 を経過していた場合には動作が異なります）

 

パスワードを間違っていた場合の動作については、最初に ×××× さんが記載されていた内容になると思います。

 

それでは、こちらの情報が少しでもお役にたてれば幸いです。

 

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/1f5bd2aa-cca5-4b89-919b-99388f119de3

 
－－－－－－－－－－－－－－－－－－－－－－－－－－－
パスワードの履歴についてはしたのような質問もあった。

（質問）

パスワードの履歴について

 

Windows 2008 SP2でドメインコントローラを構築しています。

グループポリシーでパスワードの履歴を5つ記録する設定で運用しています。

各ユーザーが保持しているパスワードの履歴を全てもしくは１つを消去する

方法はあるのでしょうか？

ご存知でしたら教えて下さい。

 

－－－－－－－－－－－－－－－－－－－－－－－－－－－
（回答）

○○○○です。

ユーザパスワード履歴の一部を人力で削除する、ということはできません。この動作はシステムが内部的にやっていることだからです。

たとえばパスワードの履歴を全部飛ばしたい、というなら、したのような設定で行うしかないでしょう。

■パスワードポリシーでパスワードの履歴を0にする。

■各ユーザに「次回ログオン時にパスワードを変更する」設定をONにする

うえのようにすれば、ユーザが次回パスワード変更時に、内部動作として過去のパスワードが全部消去される、のではないでしょうか。

 

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/2e88e32f-059c-4fee-81b3-2878c7c04c7c/#8428f9e2-1b10-4ab7-bba9-3c3722d5f176