运行2008 R2 Active Directory服务器。 在帐户被locking之前,用户可以进行5次错误的login尝试。
由于某种原因,一个用户的login阈值为1(我已通过使用他们的名字login到我们的网站进行了validation)。
在过去的一周左右,每次他们input密码一次,他们来找我,我取消了“帐户被locking”的用户属性。
我对AD很新,我找不到任何微软文档说明为什么一个用户的门槛是不同于其他人的。
有人可以向我解释为什么是这样的情况,以及如何将他们的门槛改回到5?
您所寻求的AD密码策略设置的一般文档在这里 。
有问题的registry项位于 :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout
可以通过组策略操作 :
Computer Configuration – > Windows Settings – > Security Settings – > Account Policies – > Account Lockout Policy
而且,顺便说一下,这个客户端与重置的价值不同的事实强烈地表明,他要么没有收到,要么没有正确地处理组策略,所以你应该看看为什么用你的标准组策略排除故障的朋友rsop.msc和gpresult 。
这听起来像是一个组策略问题。 检查适用于AD中用户帐户的所有组策略。 根据我的经验,这些设置在默认域策略中。 其中一个政策应该有以下几点:
计算机configuration\策略\ Windows设置\安全设置\帐户策略\帐户locking策略
您可以将该值更改为5,然后在客户机上运行gpupdate。