Server 2008 域上的 WinXP 工作站:
- 用户锁定屏幕并离开计算机休息一下。
- 用户外出时忘记密码。
- 用户进行了一系列无效的登录尝试,其帐户被锁定。XP 显示一个对话框,警告用户帐户已被锁定。
- 用户忽略对话框并进行其他登录尝试,突然想起自己的正确密码。
- Windows XP 允许用户使用正确的密码解锁屏幕,尽管用户的帐户现在已被域控制器锁定。
- 用户最终致电帮助台,抱怨无法打印或访问网络驱动器。
我们有点震惊地发现,Windows 允许锁定帐户的用户解锁他们的屏幕,尽管它每次尝试身份验证时都会访问域控制器,从而生成锁定事件。
在目前的情况下,似乎有人可以在任何屏幕锁定的 Windows XP 工作站上猜出无数个密码。这是不可取的。
有没有办法让 Windows XP 尊重帐户锁定并拒绝访问,直到帐户被解锁?
答案1
这是设计使然,而且看起来相当合乎逻辑。如果用户帐户被锁定在域控制器上,则用户无法再使用域帐户登录。
但是在锁定的工作站上,所有授权(因为没有尝试访问任何资源,例如文件共享,这需要新的域凭据检查)都由本地安全系统执行,因为本地系统信任此类用户(已经由 AD 检查和授权)。
所以对于这个未锁定的工作站安全系统,这样的用户仍然是合法的,但他们无法访问使用任何具有域身份验证的资源(打印机/网络驱动器),因为帐户已经被锁定。
答案2
要强制工作站在解锁时咨询域控制器,请将计算机配置、Windows 设置、本地策略、安全选项控制中的“交互式登录:需要域控制器身份验证才能解锁工作站”设置为启用。
答案3
这难道不意味着需要改变本地帐户锁定策略吗?
(我现在无法发表评论。好的,谢谢,我会阅读的。我要删除这个吗,你们这些菜鸟踩踏者?)
认真地思考之后,我认为这篇文章因为太简单而被否决,而 Sergey 的文章因为不够清楚而被否决。