如果用户在不同的 DC(站点)尝试了错误的密码,为什么在达到阈值错误密码计数后就会发生锁定?
账户锁定阈值为3
例如我有 3 个站点 - 站点 A、B、C
如果用户在站点 A 输入了错误的密码,然后同一个用户尝试在站点 B 使用错误的凭据登录,然后又在站点 C 中使用相同的凭据登录,现在该帐户将被锁定,该怎么办?
答案1
默认情况下,将在本地 DC 上检测到的错误密码提交给 PDCe 以检查最近的密码更改。PDCe 会跟踪并在达到阈值时锁定帐户。您可以将 AD 配置为不通过 WAN 转发。
之所以将它们转发到 PDCe,是因为密码更改也会立即(使用紧急复制)转发到 PDCe,因此如果您的密码更改发生在一个 DC 上,而您立即尝试对另一个 DC 进行身份验证,则不会拒绝访问。同样,您可以配置 AD 不执行此操作。
查看文章Windows 中的密码更改处理和冲突解决功能了解更多信息。