CA Access Control(旧eTrust AccessControl,以下CA ACと略記) のeACSyncLockoutユーティリティを使用して、

アカウントロック情報をCA ACのseosdbと同期を行う方法について

Release: All Versions (Windows PIM)

Component:

CA AC for Windows リファレンスガイドでは、以下のように記述があります。

『アカウントのロックアウトを eTrust Access Control データベースと同期させます（つまり、アカウント ロックアウトが発生すると、

このアカウントに対応する CA ACデータベース内のユーザ レコードが一時停止になります）。

このユーティリティは、パスワードの同期が有効、かつユーティリティを実行しているユーザが ADMIN プロパティを保持している場合にのみ

有効です。』

実際にeACSyncLockout.exeを使用して、アカウントロック情報をCA ACのseosdbまたは、PMDBに同期させるには、以下の条件設定が必要で

す。

eACSyncLockoutサービスをACの管理者権限のあるユーザで起動する。

サービス→Synchronize Lockout →プロパティ→ログオンタブでAC管理者

ユーザアカウントおよびパスワードを設定する。

ローカルセキュリティの設定 → ローカルポリシ → 監査ポリシー

→ ログオンイベント監査の対象が「成功、失敗」となっていること。

当該ユーザがACのルールに登録されていること。

PMDB環境のときはレジストリ"passwd_pmd"に適切な値を設定する。

PMDB環境のときはpassword_pmdとのパスワードの同期が行われていること。

※ eACSyncLockoutはネイティブユーザがロックアウトされたイベントをきっかけとしてACユーザを無効にする機能を提供します。ロックア

ウトの解除を同期する機能はございません。