アカウントのロックアウト機能を有効にするには、次の操作を行います。
Active Directory と Directory Server の両方に同じパスワードポリシーを設定する。
アカウントのロックアウトを有効にする。
Directory Server と Active Directory で異なっている属性を対応付ける。
Identity Synchronization for Windows では、Active Directory と Directory Server の間で次のイベント同期を行うことができます。
ロックアウトイベントの同期 (Active Directory から Directory Server へ)
ロックアウトイベントの同期 (Directory Server から Active Directory へ)
手動でのロックアウト解除イベントの同期 (Active Directory から Directory Server へ)
手動でのロックアウト解除イベントの同期 (Directory Server から Active Directory へ)
Windows NT ディレクトリサーバーでは、アカウントのロックアウトとロックアウト解除の同期はサポートされません。
アカウントのロックアウト機能を有効にする前に、両方のコンポーネントで属性 lockoutDuration を同じ値に設定してください。また、分散セットアップに関係するすべてのシステム間で時刻が一致していることも確認してください。時刻が一致していないと、lockoutDuration の設定がシステム間の時刻差よりも短い場合に、ロックアウトイベントが期限切れとなる可能性があります。
Active Directory と Directory Server の両方に同じパスワードポリシーを設定してください。たとえば、Active Directory のパスワードポリシーで永続的なロックアウトが指定されている場合は、Directory Server でも同じパスワードポリシーを設定するようにしてください。
Directory Server と Active Directory の間のアカウントロックアウトの同期を有効にします。
アカウントのロックアウトを有効にするために、Directory Server の pwdaccountlockedtime 属性と Active Directory の lockoutTime 属性を明示的にマッピングする必要はありません。Identity Synchronization for Windows の設定パネルの「アカウントのロックアウト」タブで、「アカウントロックアウト同期を有効にする」チェックボックスにチェックマークを付けます。
コマンド行ツールの idsync accountlockout を使用してアカウントロックアウトの同期の有効と無効を切り替えることもできます。詳細については、付録 A 「Identity Synchronization for Windows コマンド行ユーティリティーの使用」を参照してください。