我注意到我的域环境中有旧的管理员密码(密码过期之前)..客户端机器已经缓存了旧密码,并且可以通过输入旧密码来绕过新密码..?
基本上,我正在运行一个启用了 UAC 的域,它需要管理员密码才能继续执行基本操作;安装等。由于该帐户密码已过期,管理员帐户的密码已更改。一位管理员同事不小心输入了旧密码,并仍然绕过了 UAC,而这应该是错误的密码。
这是环境的错误吗?还是需要在服务器端设置中进行调整?
答案1
我不完全清楚您的情况,但我认为有两种可能性。
1. 您已缓存域凭据
在这种情况下,它按设计工作。如果需要访问计算机,但域控制器不可用,Windows 将记住最后 X 次登录。我认为默认情况下是 5 次,但您可以使用 GPO 关闭此功能。
它位于Computer Configuration--> Windows --> Settings--> Security Settings--> Local Policies--> 下Security Options,策略名为Network Access: Do not allow storage of credentials or .NET Passports for network authentication。启用它,不再有密码缓存。
但是,如果您需要访问域中孤立的计算机,这会导致问题,因此请保留那些本地管理员帐户密码。
2. 您的用户正在使用本地管理员帐户
也按设计工作 - 密码过期仅适用于领域帐户,而不是本地帐户。
幸运的是,这也可以通过 GPO 来处理。您可能希望禁用或重命名本地管理员帐户并更改密码,这也是可行的。配置本地管理员帐户的各种默认 GPO 的位置如下。
在组策略对象编辑器中,单击“计算机配置”,单击“Windows 设置”,单击“安全设置”,单击“本地策略”,然后单击“安全选项”。
我发现最简单的方法是使用 GPO 禁用管理员帐户,然后使用 GPP(Local Users and Groups在 下Computer Preferences)部署具有本地权限的新帐户Control Panel,但具体方法取决于您。