您通常可以知道 AD 帐户何时被锁定,因为它会在复选框旁边告诉您“解锁”该帐户。
不过,我想知道当帐户未被锁定时,我是否有必要勾选此复选框?如果是,那么“解锁”此帐户有什么作用?
答案1
在下级 DC(2000 和 2003)上,如果帐户未被锁定,则“解锁帐户”复选框曾经被禁用,因为如果帐户未被锁定,则没有理由选中该复选框。
但在 Longhorn 中,引入了 RODC,因此现在无论帐户是否实际被锁定,“解锁帐户”复选框始终处于启用状态。(除非查看对话框的用户无权写入帐户的 lockoutTime 属性。然后复选框将被禁用。)
[更多信息]
将 lockoutTime 重置为 0 可解锁帐户。复选框的作用其实只是将属性写入用户帐户。
将 lockoutTime 设置为 0 反过来会触发紧急复制并将 badPwdCount 重置为 0。
如果用户的 lockoutTime 已经为 0,则将其设置为 0 会将 badPwdCount 重置为 0,如果 badPwdCount 已经为 0,则它不起作用。