如果我有两个域控制器(DC)并且使用两台不同的计算机登录到单独的域控制器,密码尝试次数可以超出吗?
此外,重置机制是否以相同的方式工作?
清晰示例:我的密码锁定限制设置为五次尝试
- 计算机 1 尝试登录 DC1 - 未成功
- 计算机 1 尝试登录 DC1 - 未成功
- 计算机 1 尝试登录 DC1 - 未成功
和
- 计算机 2 尝试登录 DC2 - 未成功
- 计算机 2 尝试登录 DC2 - 未成功
- 计算机 2 尝试登录 DC2 - 未成功
此帐户现在被锁定了吗?
注意:为了清晰起见,添加了计算机 2。当一台计算机出现网络故障时,可能会发生同样的情况。
答案1
是的,账户将被锁定。
正如记录在案的高级复制管理文档:
帐户锁定是一项安全功能,它设置了允许的身份验证失败次数限制,超过该次数,帐户将被“锁定”,无法再尝试登录,此外还设置了锁定的有效时间限制。
在 Windows 2000 中,帐户锁定会紧急复制到主域控制器 (PDC) 模拟器角色所有者,然后紧急复制到以下位置:
与 PDC 模拟器位于同一站点的同一域中的域控制器。
与处理帐户锁定的域控制器位于同一站点的同一域中的域控制器。
- 位于同一域中的域控制器,这些域控制器位于已配置为允许站点之间进行更改通知(因此允许紧急复制)的站点,这些站点与包含 PDC 仿真器的站点或处理帐户锁定的站点位于同一站点链接中的任何站点,或与包含处理帐户锁定的域控制器的站点位于同一站点链接中的任何站点。
此外,当在 PDC 仿真器以外的域控制器上身份验证失败时,将在 PDC 仿真器上重试身份验证。因此,如果达到错误密码尝试阈值,PDC 仿真器将在处理失败密码尝试的域控制器之前锁定帐户。
总而言之,由于错误密码尝试会被优先处理,并且每个错误密码尝试也会在 PDC 模拟器上重试,因此任何正确复制的域控制器都会锁定您的帐户。
但是,也有一些例外情况可能会允许您超过分配的登录次数:
答案2
理论上,用户可能会超出策略定义的最大登录尝试次数。(尤其是使用密码更改尝试次数。)
例如,假设您的锁定策略是 5 次错误登录尝试。
用户可以尝试对 DC1 进行 4 次登录,
然后他们可以尝试 4 次登录 DC2,
并且在第一次针对 DC2 的错误登录尝试后仍然不会被锁定。
从https://technet.microsoft.com/en-us/library/Cc772726(v=WS.10).aspx,这是所有 AD 管理员必读的内容:
当尝试更改密码时使用错误密码时,锁定计数仅在该域控制器上递增,而不会复制。 因此,攻击者可以在帐户被锁定之前尝试 (域控制器数量)*(锁定阈值 -1) + 1 次猜测。 虽然这种情况对帐户锁定安全的影响相对较小,但域控制器数量异常多的域表示攻击者可用的猜测总数显著增加。 由于用户无法指定尝试更改密码的域控制器,因此这种类型的攻击需要高级工具。
还有这个:
此外,当在 PDC 仿真器以外的域控制器上身份验证失败时,将在 PDC 仿真器上重试身份验证。因此,如果达到错误密码尝试阈值,PDC 仿真器将在处理失败密码尝试的域控制器之前锁定帐户。
因此,通常情况下,您不会看到普通日常用户超过锁定阈值,但使用快速且可以超越 AD 复制的自动化工具可能会超出定义的锁定阈值。
这里的关键点是紧迫的复制并不意味着瞬间复制。