有没有办法更改 Active Directory 中的某些设置,以允许来自特定 IP 地址的请求发出多个不正确的 LDAP 请求而不锁定帐户?
我们目前已将 AD 设置为在 3 次身份验证尝试失败后锁定帐户。我想增加来自特定 IP 地址的请求的此数字,或者完全关闭来自此 IP 地址的帐户锁定。
如果我可以让 AD 在几次尝试后忽略来自某个 IP 的请求并且不锁定帐户,那么它也可以起作用。
基本上,我们有一个新的自助帐户解锁工具,我想把它放到互联网上,这样无需在办公室就可以解锁帐户。该工具的唯一问题是有一个用于管理安全问题的登录屏幕。这个登录屏幕可以锁定帐户,我不希望它被用来恶意锁定帐户。这就是为什么我希望这可以通过 IP 地址来完成。
答案1
您无法根据客户端 IP 更改锁定策略。但是,您可以根据用户更改锁定策略。基本上,您可以创建一个具有不同锁定策略的 GPO,然后将其分配给该用户或 OU。这将覆盖更高级别分配的策略。