我们的帐户策略设置为在 10 次登录尝试失败后锁定用户。我们有一个代理身份验证服务器,它是 AD 的成员,它从浏览器获取身份验证请求并将其转发到 DC。一些用户将旧的/不正确的凭据保存在某个地方(第三方软件),因此他们每天都会被锁定。
是否可以配置 GPO(不使用 WMI)以将此身份验证服务器排除在锁定策略之外,或者将锁定阈值设置为 1000 次失败尝试?
答案1
我不相信使用本机 AD 锁定方法可以实现这一点。
Server 2008 推出了细粒度密码策略,这比 2000 年和 2003 年的策略有了很大的改进,但这些策略仅适用于用户。其中没有机制说“这些策略仅适用于来自这些机器的登录,但不适用于那些机器。”所有登录都按照这些策略同等对待,无论启动它们的机器是什么。