明らかな理由なしにActiveDirectoryアカウントがロックされる
私はこの問題のトラブルシューティングを2年間行ってきましたが、再発し続けています。 Macユーザーは、Windows Server 2008Standardを実行しているActiveDirectoryサーバーに対して認証を行います。特にMacユーザーの1人は、ログオンできず、最大ログイン試行回数に達する前にADアカウントをロックするという問題を繰り返し発生しています。問題は2週間前に再び始まり、私は彼女のネットワークとActiveDirectoryの設定を再構成しました。私は問題が修正されたと思ったが、先週私は早くオフィスにいて、再起動が必要なMacアップデートをインストールすることに決めた。ユーザーが20分後にログインしようとすると、アカウントがロックされました。彼女のセキュリティログには、「authorizationhost [96]がユーザーの認証に失敗しました(tDirStatus:-14090)」というメッセージが表示されます。
私が彼女のコンピューターに何もしなかったにもかかわらず、これは今朝再び起こり、彼女はコンピューターの電源を入れてから1.5時間後にログインを試みました。
これは、私がログアウトした後にアカウントをロックするためだけに彼女のIDとパスワードで正常にログインした後にも発生しました。
接続しようとしていると私が考えることができるのは、AD PDCのLDAPだけですが、資格情報を入力したことがなく、他の誰もこの問題を抱えていません。
すべてのMacにはSnowLeopard 10.6.7があり、すべて同じネットワークとAD設定がありますが、この特定のMacには引き続き問題があります。
ですから、私がこれを正しく読んだ場合、あなたはこれを自分で目撃したことがなく、それは起こり続けます。時々、あなたが去った直後?ユーザーに問題があり、パスワードを思い出せない可能性はありますか?コンソールを調べて、失敗したログインの数を正確に確認しましたか?
ADは、x分間にx回失敗しない限り、アカウントをロックしません(パスワードポリシーで設定)。これを引き起こしているMacに自動化/保存されたプロセスがない場合、残っているのはユーザーだけです。
キーチェーンに古いパスワードまたは間違ったパスワードが保存されている可能性があります。これは、アプリケーション、Webページ、またはプロセスに関連付けられている可能性があり、呼び出されると、アカウントがロックされます。これを確認し、AD資格情報を含む彼女のキーチェーンからのエントリ(またはそれらのように見えるエントリ)を削除することをお勧めします。
数年前、ユーザーと同様の問題が発生しました。彼のアカウントは「ランダムに」ロックされ続けました。その会社では30日間のパスワードの有効期限があり、彼はiPhoneにExchangeメールアカウントを設定していました。彼はプロンプトが表示されたときにパスワードを変更しましたが、iPhoneはまだ古い資格情報を使用しており、メールを取得しようとするたびにアカウントをロックしていました。
Osxがldapでどのように機能するかについての知識はありませんが、osxで奇妙な問題が発生した場合、通常はplutilを実行することで手がかりを得ることができます。ユーザーのplistファイルでエラーを見つけることができます。 〜/ Library/Preferencesそのディレクトリ内で実行できますplutil -s *.plistこれにより、これらの構成ファイルのエラーが報告されます。システムライブラリでも同じことができます。幸運を。
ユーザーが認証を試みている可能性のある別のメールクライアントまたは他のツールを設定することは可能ですか?
または、リモートシステムでcitrixまたはRDPセッションが生きている可能性がありますか?
しばらく使用する別のMacを彼女に渡して、そのMacと彼女のアカウントのどちらであるかを判断できますか?
アカウントがロックアウトされている主な原因は、ユーザーが間違ったパスワードを入力していることが明らかな場合を除いて、次の2つです。
- ブルートフォースを使用してアカウントにアクセスしようとするウイルス/マルウェア(任意のマシンに存在する可能性があります)。これは、Windowsサーバーのイベントログで明らかになるはずです。
- 古いパスワードを使用して共有リソースにアクセスする。これは、Windows以外のマシンを使用して、記憶された資格情報を使用してWindowsリソースにアクセスする場合に特に一般的です。