是否有一个ADUC设置可以防止某些用户帐户被locking,特别是在x次login尝试失败后? 哦,我们的DC目前在Server 2003上,但是我们也在其他环境中使用Server 2008 DC。
你可以做,但你仍然需要一个GPO。 创build具有必要设置的GPO,然后从ACL中删除“应用组策略”。 创build一个您想要从密码locking中消除的组,将您的用户添加到组中,然后将该组“适用组策略”分配给您的GPO。
请记住,GPO按以下顺序应用:
本地站点域OU
所以一定要将您的新GPO应用到正确的级别,以免它被下面的东西踩坏。
我不禁想知道为什么你不要简单地允许这些帐户的空白密码。 这与安全级别相同(缺less安全级别)与允许无限制的尝试差不多。 或者,您可以将GPO应用于允许进行最大密码尝试次数的帐户(无论该次数是多less),也可以设置为尽可能短的locking时间段,以便帐户可以快速解锁真的注意到。
当然,理想的解决办法是让这些人真正记住他们的密码,但我猜这些是高级pipe理人员。
首选方法是从Windows Server 2003数据中心迁移出来,并为Windows 2008function级别configuration域,您将能够利用Windows Server 2008的新function之一:多个密码和帐户locking策略。
AD DS精细密码和帐户locking策略分步指南
http://technet.microsoft.com/en-us/library/cc770842%28v=ws.10%29.aspx
如何提高Active Directory域和林function级别
http://support.microsoft.com/kb/322692
你应该问这个在serverfault.com,虽然一个快速的答案是http://technet.microsoft.com/en-us/library/cc781491(WS.10).aspx