大きい整数(LargeInteger)の属性の 1つである lockoutTime(アカウントのロックアウト)の値を確認してみました。
Domain Admins グループに所属するテスト管理者ユーザ「testadmin」を作って、ドメインコントローラへのログオンに失敗してロックアウトされ、解除後にログオン成功 というようにしてみました。
ロックアウトするようにするには、ロックアウトのポリシーを有効にします。
管理ツール「グループ ポリシーの管理」で Default Domain Policy を編集します。
※どの図もクリックすると新しいウィンドウで拡大図が表示されます。
「コンピュータの構成」-「ポリシー」-「Windows の設定」-「セキュリティの設定」-「アカウント ロックアウトのポリシー」を選択し、「アカウントのロックアウトのしきい値」のプロパティで「このポリシーの設定を定義する」にチェックを入れてロックアウトするまでの回数を入力します。今回は 3回にしました。(下図左)
OKボタンをクリックすると「提案された値の変更」画面(下図右)が表示されます。今回はこのまま OKボタンをクリックしました。
これで 3回ログオンに失敗すると 30分間はログオンできなくなります。
まずはロックアウトする前の lockoutTime 属性の値の確認。値がないので <未設定> と表示されています。
ちなみにまだ 1度もログオンしていないので lastLogon は (なし)、lastLogonTimestamp は <未設定> と表示され、logonCount は 0 になってます。
これでテスト管理者ユーザでドメインコントローラへログオンしようとしてパスワードを 3回間違えます。(下図左)
4回目に正しいパスワードを入力してもロックアウトしているのでログオンできません。(下図右)
ロックアウトしたので lockoutTime 属性の値を見てみます。
130303607928797453。これじゃぁいつロックアウトしたのか判んないですよね~
プロパティ出力のコードは、lockoutTime 属性は数値と日付の両方を出すようにした方がよさそうです。
30分待ってロックが解除された時に再度見てみましたが値は変わってませんでした。
アカウントタブのロック解除の部分は変わったのでロックが解除されたのが判ります。
左側がロックアウト中で右側が解除後です。
アカウントタブで明示的にロックを解除した場合(下図左側)、あるいはロックアウト期間が過ぎた後にログオンした場合(下図右側)は lockoutTime 属性の値は 0 になりました。
ロックアウト期間が過ぎた後にログオンした方は lastLogon と lastLogonTimestamp に日付が表示され、logonCount は 1 になりました。