ドメイン上のすべてのユーザーのアカウント ロックアウトしきい値を変更しようとしています。しきい値は 3 にする必要がありますが、パスワードを 1 回間違って入力するとロックアウトされるユーザーもいれば、6 回または 7 回試してもロックアウトされないユーザーもいます。
Windows Server 2008 R2 を使用しており、すべてのユーザーが単一のドメインにいます。グループ ポリシー管理で、[GPO]\コンピューターの構成\Windows の設定\セキュリティの設定\アカウント ポリシー\パスワード ポリシーのグループ ポリシー パスをたどってみましたが、GPO (既存または新規作成) のいずれにも、セキュリティ設定の下にアカウント ポリシー設定がありません。さまざまなパスをすべて展開して探しましたが、見つかりません。サーバー マネージャーから同じことを試しましたが、結果は同じでした。
MMC.exe を試してみましたが、ここで作成された GPO のパスは正しいのですが、ここで作成された GPO はドメイン全体ではなく、コンピューターにのみ関連付けられているようです。ローカル コンピューター (サーバー) に 1 つ設定しましたが、一部のユーザーには影響があるようですが、他のユーザーには影響がありませんでした。
この問題の原因 (または一因) として、アカウント ロックアウト GPO の SYSVOL ファイルが見つからないことが考えられます。これは、私がここで働き始める前から存在していた GPO で、ロックアウトの問題を解決しようとした誰かによって無効にされました。SYSVOL ファイルがいつ、なぜ、だれによって削除/移動されたのかはわかりません。SYSVOL ファイルが見つからないため、この GPO を表示しようとすると、コンピューターが指定されたパスを見つけられず、アクセス許可がない可能性があるというエラーが表示されます。
このような状況で何をすべきかをオンラインで調べていますが、まだ役に立つものを見つけていません。私はこの分野にかなり不慣れで、すぐにアイデアが尽きてしまうので、解決策やアドバイスがあればありがたいです。
答え1
これはデフォルトのFGPPに問題がある可能性があります
。この記事
特定のユーザーに適用される FGPP を確認するには、msDS-ResultantPSO を確認します。Powershell
は次のように使用できます。
Get-ADUser -LDAPFilter '(&(objectCategory=person)(objectClass=user)(SamAccountName=JohnG))' -Properties msDS-ResultantPSO
これを修正するには、ユーザー (またはユーザーが属するグループ) を関連する PSO (上記のリンクされた記事で説明) に追加します。
また、一般的に、ローカル GPO を適用するのは良い考えではありません。DC
に固有のポリシーを適用する必要があります。