我们的帐户政策设置为在10次失败login尝试后locking用户。 我们有一个代理authentication服务器,它是AD的一个成员,它从浏览器获得authentication请求并把它们转发给DC。 某些用户在某处保存了旧的/不正确的凭证(三方软件),因此每天都会被locking。
是否可以configurationGPO(不使用WMI)将此auth服务器从locking策略中排除或将locking阈值设置为1000次尝试失败?
我不相信这是可能的原生ADlocking方法。
Server 2008推出了细粒度密码策略,这是2000年和2003年的巨大改进,但这些策略只适用于用户 。 那里没有机制说:“这些政策只适用于来自这些机器的login,而不适用于这些机器。” 不pipe启动它们的机器如何,所有的login都被这些策略处理。