我正在尝试更改我们域中所有用户的帐户锁定阈值。阈值应该是 3,但有些用户在输错一次密码后就会被锁定,而其他用户在输错六七次密码后才会被锁定。
我们有 Windows Server 2008 R2,所有用户都在一个域中。在组策略管理中,我尝试遵循 [GPO]\Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy 的组策略路径,但我的所有 GPO(现有或新创建的)都没有安全设置下的帐户策略设置。我扩展了所有不同的路径来寻找它,但毫无收获。我也尝试从服务器管理器执行此操作,结果相同。
我尝试过 MMC.exe,并且在此创建的 GPO 具有正确的路径,但此处创建的 GPO 似乎仅与计算机相关联,而不是与整个域相关联。我在本地计算机(服务器)上设置了一个,它似乎影响了一些用户,但没有影响其他用户。
我怀疑导致该问题的一个可能原因(或促成因素)可能是缺少帐户锁定 GPO 的 SYSVOL 文件。这是在我开始在这里工作之前就存在的 GPO,被试图修复锁定问题的人禁用了。我不确定 SYSVOL 文件是何时、为何或由谁删除/移动的。由于 SYSVOL 文件丢失,当我尝试查看此 GPO 时,我只是收到一条错误消息,提示计算机找不到指定的路径,我可能没有权限。
我一直在网上搜索如何应对这种情况,但还没有找到任何有用的信息。我很感激任何解决方案或建议,因为我对此还很陌生,而且很快就想不出主意了。
答案1
这可能是由于您的默认 FGPP 存在问题。
阅读本文。
您可以通过检查 msDS-ResultantPSO 来查看适用于特定用户的 FGPP。
您可以像这样使用 Powershell:
Get-ADUser -LDAPFilter '(&(objectCategory=person)(objectClass=user)(SamAccountName=JohnG))' -Properties msDS-ResultantPSO
您可以通过将用户(或用户所属的组)添加到相关 PSO 来纠正此问题(如上面链接的文章所示)。
此外,通常来说,应用本地 GPO 并不是一个好主意。
您应该针对您的 DC 应用特定的策略。