我将通过解释我的情况来开始我的问题。
我的公司一直面临着涉及大量(如果不是全部)账户的随机的,但是周期性的locking。 我的团队一直怀疑有某种恶意软件和/或黑客工具从AD域控制器中提取所有用户帐户,并试图对这些帐户进行暴力破解。
目前我们正在监控所有停工事件,试图缩小犯罪者的来源。
但是,直到我们真正发现并迫害犯罪者,有一些活动确实需要不间断的访问,而不受帐户locking的影响。 我们称这些帐户为overseers 。
我想要解决这个窘境的是:
d2.company.com (D-2),而原来的折磨域名为d1.domain.com (D-1) overseers帐户相同的权限。 [1] 现在,我的问题是:
A)这个策略会起作用吗?
B)恶意程序/恶意软件能否暴力破解D-2帐户?
C)我需要关心的任何catch / gotchas?
TIA为您提供帮助。
[1]是的,我很可能必须创build“通用”组,并将其添加到所有相关的域本地组,但这是我完全愿意做的一个单调乏味的事情。
那么现在最紧急的事情就是把恶意软件和/或黑客当成是你的networking,但是你已经知道了。
每次遇到恶意软件或黑客时,创build一个新的域名并撤离就没有任何意义。 当他们开始攻击D2时你会做什么? 创build一个D3? 那么一个D4和D5?
但是,要回答您的问题,如果您需要授予对您的域中的特定帐户或帐户组的locking豁免权,那么您将创build细粒度密码策略(密码设置对象)并将其应用于该用户或组。
http://technet.microsoft.com/en-us/library/cc770842(v=WS.10).aspx
这需要2008年或更高的域function级别。