ADに参加していないPCが頻繁にアカウントロックされる

PCがドメインに参加しておらず、共有ファイルの一部がAD管理な環境で、パスワードを更新した所、頻繁にアカウントロックが発生してしまうようになった件についての対応メモ

状況

Windows7
資格情報マネージャーからADの接続情報を消しても、新しいパスワード以外で接続され、自動で再試行してしまう為に、即座にアカウントがロックされてしまう事になっていた。

結果

ローカルユーザーがドメインユーザーと同じIDであったため

1. ローカルからドメインにつなぐ
2. ドメイン側にローカルID/PASSで認証が飛ぶ
3. ドメイン側で一致したIDのアカウントとパスワードが一致しない
4. ロックがかかるまで自動で再試行される
5. アカウントロック

という流れだった模様

https://blogs.technet.microsoft.com/jpntsblog/2016/04/19/account-lockout-1/
こちらの「※ (1) のドメインとローカルで同じユーザーアカウントを使用している場合の動作について」参照

対応

Windowsでアカウントを変えてみる

→ アカウント名の変更では流石にIDは変わらなかった

Windows 転送ツールを使用

新しいIDを作成し、プロファイルを移行

DC側のイベントログに、新しいIDでの失敗ログが入り、ドメインユーザでの認証で入れたことを確認

未解決

• アカウントロックがかかる際、クライアント側から一度接続しようとするだけで、ロックの上限まで自動的に再試行が行われてしまうので、一度認証に失敗したらダイアログが出るような設定は出来るのかどうか

• ローカルユーザー