通过组策略本地帐户locking

是的，这是可能的。

域用户的帐户locking策略由默认域策略或默认域控制器策略对象中的设置定义。 文档不清楚（ 在这里和这里比较），默认情况下哪些文件包含域用户设置，并没有描述用户帐户的设置如何在非默认configuration中。 它可能取决于Windows Server的版本。 无论如何，我们可以根据确切的行为轻松避免。

您的成员工作站应该已经位于一个或多个OU中。 如果创build组策略对象并将其应用于这些OU，则该GPO中的“帐户locking策略”设置将优先于“默认域策略”对象中的设置（如果有）。 默认域控制器策略对象只适用于域控制器OU，因此它们在任何情况下都不会影响您的成员服务器。

如果您不将GPO应用于域的根目录，域控制器OU或站点级别，那么即使这些帐户正在login相关服务器，也不会影响域用户帐户。 （应该可以将GPO应用于域的根目录并使其工作，但细节有点复杂，所以我不build议尝试它。）

我没有现在要testing的域名，但是我认为如果你在本地应用设置（例如通过secpol.msc），你只能将其更改为该机器。 当然，如果它不是域控制器。

您可以使用组策略通过使用“NET ACCOUNTS / LOCKOUTDURATION：XX”命令（其中XX在几分钟内）推送启动脚本来更改本地帐户locking阈值，但这只会产生短期效果。 当本地计算机join域时，它将从域的策略或其所属的任何组织单位的策略获取安全策略。

当您使用本地安全策略（NET ACCOUNTS命令）修改本地计算机上的安全设置时，则直接修改计算机上的设置。 因此，这些设置会立即生效，但这可能只是暂时的。 这些设置实际上在您的本地计算机上保持有效，直到下一次刷新域组策略安全设置时，从组策略接收的安全设置将在任何存在冲突的地方覆盖您的本地设置。 安全设置在工作站或服务器上每90分钟刷新一次，在域控制器上每5分钟刷新一次。 设置也每16小时刷新一次，无论是否有任何变化

http://technet.microsoft.com/en-us/library/cc739442%28v=ws.10%29.aspx