我可以防止 Active Directory 帐户被锁定吗？

Question 1

您可以这样做，但您仍然需要一个 GPO。创建一个具有必要设置的 GPO，然后从 ACL 中删除“应用组策略”权限。创建一个您想要从密码锁定中消除的组，将您的用户添加到该组，并为该组分配 GPO 的“应用组策略”权限。

请记住，GPO 是按以下顺序应用的：

本地站点域 OU

因此，请确保在正确的级别应用新的 GPO，以免它被低于它的某些级别所破坏。

Answer

您可以这样做，但您仍然需要一个 GPO。创建一个具有必要设置的 GPO，然后从 ACL 中删除“应用组策略”权限。创建一个您想要从密码锁定中消除的组，将您的用户添加到该组，并为该组分配 GPO 的“应用组策略”权限。

请记住，GPO 是按以下顺序应用的：

本地站点域 OU

因此，请确保在正确的级别应用新的 GPO，以免它被低于它的某些级别所破坏。

Question 2

首选方法是脱离 Windows Server 2003 DC 并将您的域配置为 Windows 2008 功能级别，您将能够利用 Windows Server 2008 的新功能之一：多重密码和帐户锁定策略。

AD DS 细粒度密码和帐户锁定策略分步指南
http://technet.microsoft.com/en-us/library/cc770842%28v=ws.10%29.aspx

如何提升 Active Directory 域和林功能级别
http://support.microsoft.com/kb/322692

Answer

首选方法是脱离 Windows Server 2003 DC 并将您的域配置为 Windows 2008 功能级别，您将能够利用 Windows Server 2008 的新功能之一：多重密码和帐户锁定策略。

AD DS 细粒度密码和帐户锁定策略分步指南
http://technet.microsoft.com/en-us/library/cc770842%28v=ws.10%29.aspx

如何提升 Active Directory 域和林功能级别
http://support.microsoft.com/kb/322692

Question 3

你应该在 serverfault.com 上询问这个问题，尽管一个简单的答案是http://technet.microsoft.com/en-us/library/cc781491(WS.10).aspx

Answer

你应该在 serverfault.com 上询问这个问题，尽管一个简单的答案是http://technet.microsoft.com/en-us/library/cc781491(WS.10).aspx

Question 4

我忍不住想知道为什么你不直接允许这些帐户使用空白密码。这几乎与允许无限次尝试相同（缺乏）安全级别。或者，你可以将单独的 GPO 应用于这些帐户，允许最大密码尝试次数（无论该次数是多少），或者简单地将锁定时间段设置得尽可能短，以便帐户解锁速度足够快，以至于他们不会真正注意到。

当然，理想的解决方案是让这些人真正记住他们的密码，但我猜他们是高级经理。

Answer

我忍不住想知道为什么你不直接允许这些帐户使用空白密码。这几乎与允许无限次尝试相同（缺乏）安全级别。或者，你可以将单独的 GPO 应用于这些帐户，允许最大密码尝试次数（无论该次数是多少），或者简单地将锁定时间段设置得尽可能短，以便帐户解锁速度足够快，以至于他们不会真正注意到。

当然，理想的解决方案是让这些人真正记住他们的密码，但我猜他们是高级经理。

相关内容