今天我输错了三次密码,我的账户在 Windows 8.1 Pro 工作站上被锁定了。我检查了策略结果集 (rsop.msc),所有三个相关设置都是“未定义”
- 帐户锁定时长
- 帐户锁定阈值
- 重置帐户锁定计数器
“账户锁定阈值”默认为“0”,“如果将该值设置为0,则账户永远不会被锁定。”
谢谢
更新:
我运行了 gpresult /h [filename],但根本没有定义锁定策略(证实了我所有的其他评论)
答案1
RSOP 支持已被弃用。根据http://deployhappiness.com/gpresult-or-rsop/
“从 Windows Vista SP1 开始,微软将 GPResult 命令作为在客户端上排除组策略故障的主要工具。”
基本上,为了确保您获得机器上策略的完整结果,您需要使用 GPResult 而不是 RSOP。
但是,您的帐户位于域控制器上,因此域的策略适用于锁定。无论多少调整、配置或策略编辑都不会改变您本地工作站上的这一情况。每次您输入密码时,域都必须对其进行身份验证,并且它将计入您的尝试次数。其他因素也可能计入您的尝试次数,例如缓存的凭据或使用过时的凭据登录到其他计算机。
这部分已不再相关。
此外,账户的位置非常重要! 如果帐户实际上是 Active Directory 域帐户,您的本地机器策略不会影响您的帐户锁定, 您必须检查域控制器的组策略设置(例如在 DC 上运行 GPResult)。域中存储的帐户不会针对您的计算机进行身份验证,并且锁定是在域控制器上触发的,而不是在本地工作站上。本地存储的帐户将遵循 GPResult,但只有在您重新启动计算机后才会执行,因为 WinLogon 服务必须使用新的 GPO 设置重新初始化。(并非所有 GPO 设置都可以在不重新启动的情况下应用)。
答案2
对于组策略,“未定义”与“未设置”、FALSE 或任何其他含义不同。
未定义表示组策略在你所分析的层面上不会改变 Windows 默认设置。
您可能还需要查看 - 是否存在定义的较低安全范围(非域成员上的本地)。
- 如果未定义,Windows 默认操作是什么。我怀疑是锁定,但我找不到可以参考的具体链接。
或者您可能想直接跳到答案: - 如果由于某种原因您想要绕过这个有用的安全设置,请将帐户锁定阈值设置为更高的错误数,并允许保护保持启用状态.....