ActiveDirectoryアカウントをロックしているコンピューターを見つける方法

Microsoft Active Directory環境でITを使用している場合、ユーザーのアカウントがロックアウトされ続けるという問題が発生している可能性があります。これは、ADアカウントをロックしているコンピューターを追跡する方法について知っておく必要があるすべてを示すチュートリアルです。

ロックアウトが発生したドメインコントローラーを見つける

管理者権限を持つ任意のドメインコンピューターに、Microsoftからアカウントロックアウトおよび管理ツールをダウンロードします。

デスクトップに「ALTools」という名前のフォルダーを作成し、「ALTools.exe」を実行してファイルをそのフォルダーに抽出します。

「からALToolsの」フォルダ、開いて「LockoutStatus.exe「。

「ファイル」>「ターゲットの選択」を選択します。

ロックアウトされ続ける「ターゲットユーザー名」と「ターゲットドメイン名」を指定します。ドメイン管理者としてログインしておらず、代替の資格情報を使用する場合は、[代替の資格情報を使用する]チェックボックスをオンにして、ドメインアカウント「ユーザー名」、「パスワード」、「ドメイン名」を入力します。

「OK」を選択すると、アカウントがロックされているドメインコントローラー名とともにユーザーが一覧表示されます。

イベントログを使用してロックコンピュータを見つける

認証が行われたドメインコントローラーにログインします。

「イベントビューア」を開きます。

「Windowsログ」を展開し、「セキュリティ」を選択します。

右ペインで「現在のログをフィルタリング…」を選択します。

「」と表示されているフィールドを「4740」に置き換えてから、「OK」を選択します。

右側のペインで[検索]を選択し、ロックされたアカウントのユーザー名を入力して、[ OK]を選択します。

イベントビューアには、ユーザーがログインに失敗してアカウントをロックしたイベントのみが表示されるようになりました。イベントをダブルクリックすると、ロックアウトの発生元である「発信者のコンピューター名」などの詳細が表示されます。

コンピュータのアカウントのロックとは具体的に何であるかを見つける

アカウントのパスワードが変更またはロックされる前からコンピューターがログインしている場合は、単純な再起動でうまくいく可能性があります。それ以外の場合は、次の手順に従って、タスクの実行とアカウントのロックに関連する可能性のある保存された資格情報を確認します。

ロックアウトが発生しているコンピューターにログオンします。

MicrosoftからPsToolsをダウンロードします。

単一の PsExec.exe ファイルを「C：\ Windows \ System32」に解凍します。

「スタート」を選択し、「CMD」と入力します。

「コマンドプロンプト」を右クリックし、「管理者として実行」を選択します。

次のように入力し、「Enter」を押します
。psexec-i -s -d cmd.exe

別のコマンドウィンドウが開きます。そのウィンドウに次のように入力し、「Enter」を押します：
rundll32 keymgr.dll、KRShowKeyMgr

保存されているユーザー名とパスワードのリストを示すウィンドウが表示されます。アカウントをロックしている可能性のあるアイテムをこのリストから「削除」するか、「編集…」を選択してパスワードを更新するかを選択できます。

よくある質問

イベントログは、AD環境に存在しないコンピューター名がアカウントをロックしていることを示しています。追跡して停止するにはどうすればよいですか？

ほとんどの場合、誰かがOutlookアプリを携帯電話またはタブレットにインストールしました。デバイスは、MicrosoftExchangeサーバーなどの別のデバイスを介して認証を試みています。これは、次の手順で確認できます。

上記の「ロックアウトが発生したドメインコントローラの検索」セクションで概説されている手順1〜6を実行します。

ドメインコントローラーにログインし、Netlogonサービスのデバッグログを有効にします。

ロックアウトが再び発生するのを待ちます。完了したら、ロックアウトステータスツールに戻り、DCを右クリックして、[ Netlogonログを開く]を選択します。

「編集」>「検索」を選択し、アカウントのロックされたユーザー名を検索します。呼び出し元のコンピューター名の後に、要求の送信元を中括弧で囲んで別のコンピューター名を表示する必要があります。