如果在我的环境中有两台域控制器 (DC),并且使用两台不同的计算机login到单独的域控制器,可以超过密码吗?
另外,重置机制是否以相同的方式工作?
清晰度示例:我的密码locking限制设置为五次尝试
和
这个帐户现在是locking的吗?
注意:为了清晰起见,添加了计算机2。 一台计算机出现networking故障时可能会发生同样的情况。
是的,帐户将被locking。
如“ 高级复制pipe理”文档中所述:
帐户locking是一项安全function,它对帐户被locking之前允许login的进一步尝试失败的身份validation尝试次数设置限制,以及locking生效的时间限制。
在Windows 2000中,帐户locking紧急复制到主域控制器(PDC)模拟器angular色所有者,然后紧急复制到以下内容:
与PDC模拟器位于同一站点的域中的域控制器。
位于与处理帐户locking的域控制器位于相同站点的同一个域中的域控制器。
- 同一个域中的域控制器位于已configuration为允许在包含PDC模拟器的站点或与处理帐户locking的站点之间更改站点间通知(以及紧急复制)的站点中。 这些站点包括与包含PDC模拟器的站点在同一站点链接中包含的任何站点,或包含与包含处理帐户locking的域控制器的站点在同一站点链接中的站点。
另外,如果身份validation在PDC模拟器以外的域控制器上失败,则将在PDC模拟器上重新进行身份validation。 由于这个原因,PDC模拟器locking在处理失败密码尝试的域控制器之前的帐户,如果达到了bad-password-attempt阈值。
因此,总而言之,由于错误的密码尝试是优先考虑的,并且在PDC模拟器上也重试了每个错误的密码尝试,所以您的帐户将被任何正确复制的域控制器locking。
然而,有一些例外情况可能会让您超出您所分配的login量:
用户理论上可能超过策略定义的最大login尝试次数。 (尤其是通过使用密码更改尝试。)
例如,说你的locking策略是5个糟糕的login尝试。
用户可以尝试4次loginDC1,
那么他们可以尝试4login对DC2,
并且在对DC2进行首次错误login后仍然没有被locking。
从https://technet.microsoft.com/en-us/library/Cc772726(v=WS.10).aspx ,这是所有ADpipe理员必读:
当尝试更改密码时使用错误的密码时,locking计数仅在该域控制器上递增,不会被复制。 因此,攻击者可以在locking帐户之前尝试(域控制器的数量)*(locking阈值-1)+ 1猜测。 尽pipe这种情况对帐户locking安全性的影响相对较小,但域控制器数量exception高的域代表攻击者可用的猜测总数大大增加。 由于用户无法指定尝试进行密码更改的域控制器,因此此类攻击需要使用高级工具。
另外这个:
另外,如果身份validation在PDC模拟器以外的域控制器上失败,则将在PDC模拟器上重新进行身份validation。 由于这个原因,PDC模拟器locking在处理失败密码尝试的域控制器之前的帐户,如果达到了bad-password-attempt阈值。
因此,通常情况下,用户每天都不会看到超出locking阈值的正常用户,但是使用自动化工具可以超出定义的locking阈值,该工具速度快,可以超过AD复制。
这里关键的一点是紧急复制并不意味着即时复制。