我的公司正在运行一个基于 Windows 的域。该域有一个组策略,即在多次登录尝试失败后锁定用户 5 分钟。
不幸的是,该帐户作为服务帐户运行,当帐户锁定时,主要服务(Microsoft Team Foundation Server)将在 5 分钟内停止运行。
据我的 IT 经理说,技术上不可能,以消除限制一用户帐户,但我怀疑他不愿意(我理解)违反政策才是真正的问题。
你能告诉我是否可以以及如何对帐户政策做出例外处理吗?在我看来,不太可能技术上不可能创造规则的例外。
免责声明:我知道拥有一个可以登录系统的服务帐户是个坏主意,但不幸的是我继承了这个决定,而扭转它需要时间。
答案1
正如 MichelZ 所说,如果您使用的是 2003 域,您的经理是正确的。不过,不管怎样,我理想情况下也不想为一个帐户更改我的策略。真正的问题是该服务正在尝试使用错误的密码登录。
我发布此内容作为答案,因为解决方案是完全停止该问题并找出服务尝试使用错误密码登录的原因。 如果是由于密码过期导致的,则可以在 AD 用户和计算机中对此进行排序,而不是通过重新配置密码策略:
这是服务账户的标准做法
答案2
对于 2008 以下的 Windows 域来说,这是正确的。从 Windows 2008 开始,您可以拥有不同的策略。
编辑:
以下是来自微软的链接:http://technet.microsoft.com/en-us/library/cc770842(WS.10).aspx
答案3
真正的解决方案是“托管服务帐户”,当您使用常规帐户或细粒度密码并将其设置为“永不过期”时,这是一个安全漏洞,使用托管服务帐户,计算机会自行更改密码,您不必跟踪它。而且它非常安全!
以下是链接 http://technet.microsoft.com/en-us/library/dd548356.aspx