Free Press

この投稿では、Active Directory でアカウント ロックアウトのソースを検索する方法を学びます。

2つの方法を紹介します。

ユーザーによるアカウントのロックはよくある問題で、ヘルプデスクへの問い合わせの上位にランクインしています。 ユーザーは複数のデバイス (電話、コンピューター、アプリケーションなど) にログインしている可能性があり、パスワードを変更すると、ロックアウトの問題が発生します。

このガイドでは、これらのロックアウトの原因を突き止めるお手伝いをします。

方法1: PowerShell を使用してアカウント ロックアウトのソースを見つける

ドメイン コントローラーが有用な情報を記録する前に、PowerShell と GUI ツールの両方が監査を有効にする必要があります。 このイベントIDには、ロックアウトの発生元コンピュータが含まれます

1. グループポリシー管理コンソールを開きます。 これは、ドメインコントローラまたはRSATツールがインストールされている任意のコンピュータから行うことができます。

2. デフォルトドメインコントローラポリシーの変更

Default Domain Controllers Policyを参照して、右クリックして、編集を選択します。 監査ポリシー詳細設定の変更

コンピューターの設定 -> セキュリティ設定 -> 監査ポリシー詳細設定 -> 監査ポリシー -> アカウント管理

「監査ユーザーアカウント管理」ポリシーの成功/失敗を有効にする。

これで監査が有効になり、アカウントがロックアウトされると、セキュリティ イベント ログにイベント 4740 が記録されます。

ステップ 2: PDC Emulator Role でドメインコントローラーを検索

ドメインコントローラーが1つなら（恥ずかしい）、次のステップにスキップできます…できれば少なくとも2つのDCがあることを望みます。

PDCエミュレーターの役割を持つDCは、すべてのアカウントロックアウトをイベントID 4740で記録します。

PDCEmulatorの役割を持つDCを見つけるには、次のPowerShellコマンドを実行します

get-addomain | select PDCEmulator

Step 3: PowerShellを使ってイベントID 4740を見つける

あなたが必要とするすべての詳細がイベント4740に記載されています。 PDCEmulator ロールを保持している DC で PowerShell を開き、次のコマンドを実行します。

Get-WinEvent -FilterHashtable @{logname='security'; id=4740}

これにより、イベント ID 4740 のセキュリティ イベント ログが検索されます。

これらのイベントの詳細を表示し、ロックアウトのソースを取得するには、このコマンドを使用します。

Get-WinEvent -FilterHashtable @{logname='security'; id=4740} | fl

ロックアウトの呼び出し元のコンピュータ名が表示されます。 これは、ユーザー アカウント ロックアウトのソースです。

イベント ログを開き、4740

方法 1 は以上です。

この方法は機能しますが、いくつかの手動ステップが必要で時間がかかることがあります。 また、PowerShell に慣れていないスタッフがいて、ユーザー アカウントのロック解除やリセットなど、他の機能を実行する必要がある場合もあります。 このツールを使用すると、ロックされたすべてのユーザーとアカウント ロックアウトのソースを簡単に見つけることができます。

ロック解除 GUI ツールの使用方法については、以下のステップを参照してください。

方法 2: ユーザー ロック解除 GUI ツールを使用してアカウント ロックアウトの原因を突き止める

私はこのツールを作成し、どのスタッフ メンバーでも簡単にアカウントのロックを解除し、パスワードをリセットし、アカウント ロックアウトの原因を突き止めることができるようにしました。 これらの監査ログを有効にするには、上記の手順を参照してください。 User Unlock Tool

2. Search ボタンをクリックし、more details

以上です。

これで、アカウントがロックされた回数とソース コンピュータのリストが表示されました。 このツールは、AD Pro Toolkit バンドルに含まれています。これは、AD の日常業務を簡略化および自動化するための 10 のツールのバンドルです。