質問

2009年01月07日 09時13分
  • クライアントPCロック中のADアカウントパスワード変更について

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

お世話になります。

クライアントPCがロック状態で、パスワードが分からない場合に、
ADサーバ上で該当ユーザのパスワードをリセットしたいのですが、
パスワードリセット後に、クライアントPCのロックは、新パスワードで
解除できるでしょうか。

私の経験では、環境によって、できる場合とできない場合がありました。
ADサーバOSのバージョンの問題、クライアントOSのバージョンの問題等、
ご存知の方がいらっしゃいましたら、ご教授ねがいます。

よろしくお願い致します。

1件の回答があります

回答

ほぼ一年ぶりの書き込みです。
経験に基づく記述になりますので、若干自信がありませんが一応・・・

まず、AD管理下において、サーバー側でパスワードをリセットした情報が、クライアントに通知されるのは、
「クライアントがサーバー認証を行うタイミング」になると記憶しています。

つまり、syrb3さんの場合では、
「クライアントPCのロック解除を行うタイミング」になるでしょう。

ここで、クライアントがサーバーにアクセスできる環境であれば、
新しいパスワードでのロック解除を求められるはずです。
逆に、PDCなどでパスワードをリセットしたけれども、旧パスワードでロック解除を行いたい場合は、
クライアントがサーバーへ認証情報を取得できない状況を作り上げる、
つまり、LANケーブルを抜いてしまえば可能になります。

Windowsクライアントは、特別な設定をしない限り、
10アカウント分のログインIDとパスワード履歴を内部に保持しており、
PDCやBDCから最新の認証情報を取得できなかった場合は、
この内部の履歴情報を基に合否判定されるからです。

ご質問の「できる場合」と「できない場合」の違いですが、
おそらく、パスワード変更後に「ロックの解除」ではなく、
ファイルサーバーやプリントサーバーへの新規アクセス時などに最新の認証情報がクライアントへ転送されており、
結果として、このような現象になる・・という場合が考えられるのではないでしょうか?

また、参考URLも添付しましたが、
複数のドメインコントローラがあるような環境では、
その同期とアクセスのタイミングによって、複数の事象が発生しそうです。
(リンク先の問題は解決されているようですが・・・)

あなたもコメントしましょう!