通过组策略锁定本地帐户

Question 1

是的，这是可能的。

域用户的帐户锁定策略由默认域策略或默认域控制器策略对象中的设置定义。文档不清楚（请参阅这里并比较这里) 中哪些默认包含域用户设置，并且没有描述用户帐户的设置在非默认配置中的位置。它可能取决于 Windows Server 的版本。无论如何，我们可以轻松避免依赖确切的行为。

您的成员工作站应该已经位于一个或多个 OU 中。如果您创建组策略对象并将其应用于这些 OU，则该 GPO 中的帐户锁定策略设置将优先于默认域策略对象（如果有）中的设置。默认域控制器策略对象仅适用于域控制器 OU，因此它们在任何情况下都不会影响您的成员服务器。

只要您不将 GPO 应用于域的根目录、域控制器 OU 或站点级别，它就绝对不会影响域用户帐户，即使这些帐户正在登录相关服务器。（应该可以将 GPO 应用于域的根目录并使其工作，但细节有点复杂，所以我不建议尝试。）

Answer

是的，这是可能的。

域用户的帐户锁定策略由默认域策略或默认域控制器策略对象中的设置定义。文档不清楚（请参阅这里并比较这里) 中哪些默认包含域用户设置，并且没有描述用户帐户的设置在非默认配置中的位置。它可能取决于 Windows Server 的版本。无论如何，我们可以轻松避免依赖确切的行为。

您的成员工作站应该已经位于一个或多个 OU 中。如果您创建组策略对象并将其应用于这些 OU，则该 GPO 中的帐户锁定策略设置将优先于默认域策略对象（如果有）中的设置。默认域控制器策略对象仅适用于域控制器 OU，因此它们在任何情况下都不会影响您的成员服务器。

只要您不将 GPO 应用于域的根目录、域控制器 OU 或站点级别，它就绝对不会影响域用户帐户，即使这些帐户正在登录相关服务器。（应该可以将 GPO 应用于域的根目录并使其工作，但细节有点复杂，所以我不建议尝试。）

Question 2

我现在没有域可以测试，但我认为如果您在本地应用设置（例如通过 secpol.msc），您将只将其更改为该机器。当然，如果它不是域控制器。

Answer

我现在没有域可以测试，但我认为如果您在本地应用设置（例如通过 secpol.msc），您将只将其更改为该机器。当然，如果它不是域控制器。

Question 3

您可以使用组策略通过“NET ACCOUNTS /LOCKOUTDURATION:XX”命令（其中 XX 以分钟为单位）推送启动脚本来更改本地帐户锁定阈值，但这只会产生短期效果。当本地计算机加入域时，它会从域的策略或其所属的任何组织单位的策略中获取安全策略。

当您使用本地安全策略（NET ACCOUNTS 命令执行此操作）修改本地计算机上的安全设置时，您就是在直接修改计算机上的设置。因此，设置会立即生效，但这可能只是暂时的。这些设置实际上将在您的本地计算机上保持有效，直到下次刷新域组策略安全设置，届时从组策略收到的安全设置将在发生冲突的地方覆盖您的本地设置。工作站或服务器上的安全设置每 90 分钟刷新一次，域控制器上的安全设置每 5 分钟刷新一次。无论是否有任何更改，设置也会每 16 小时刷新一次

http://technet.microsoft.com/en-us/library/cc739442%28v=ws.10%29.aspx

Answer

您可以使用组策略通过“NET ACCOUNTS /LOCKOUTDURATION:XX”命令（其中 XX 以分钟为单位）推送启动脚本来更改本地帐户锁定阈值，但这只会产生短期效果。当本地计算机加入域时，它会从域的策略或其所属的任何组织单位的策略中获取安全策略。

当您使用本地安全策略（NET ACCOUNTS 命令执行此操作）修改本地计算机上的安全设置时，您就是在直接修改计算机上的设置。因此，设置会立即生效，但这可能只是暂时的。这些设置实际上将在您的本地计算机上保持有效，直到下次刷新域组策略安全设置，届时从组策略收到的安全设置将在发生冲突的地方覆盖您的本地设置。工作站或服务器上的安全设置每 90 分钟刷新一次，域控制器上的安全设置每 5 分钟刷新一次。无论是否有任何更改，设置也会每 16 小时刷新一次

http://technet.microsoft.com/en-us/library/cc739442%28v=ws.10%29.aspx

通过组策略锁定本地帐户

答案1

答案2

答案3

相关内容