今日、パスワードを3回間違えたため、Windows 8.1 Proワークステーションでアカウントがロックされました。ポリシーの結果セット(rsop.msc)を確認したところ、関連する3つの設定はすべて「未定義」でした。
- アカウントロックアウト期間
- アカウントロックアウトしきい値
- アカウントロックアウトカウンタをリセット
「アカウント ロックアウトしきい値」のデフォルトは「0」であり、「値を 0 に設定すると、アカウントはロックアウトされなくなります。」
ありがとう
アップデート:
gpresult /h [ファイル名] を実行しましたが、ロックアウト ポリシーはまったく定義されていません (他のすべてのコメントを確認)
答え1
RSOPのサポートは廃止されました。http://deployhappiness.com/gpresult-or-rsop/
「Windows Vista SP1 以降、Microsoft は GPResult コマンドをクライアント上のグループ ポリシーのトラブルシューティング用の主要なツールにしました。」
基本的に、マシン上のポリシーの完全な結果を確実に取得するには、RSOP ではなく GPResult を使用する必要があります。
ただし、アカウントはドメイン コントローラ上に配置されているため、ドメインのポリシーがロックアウトに適用されます。微調整、構成、またはポリシー編集を行っても、ローカル ワークステーション上のポリシーは変更されません。パスワードを入力するたびに、ドメインがそれを認証する必要があり、試行回数としてカウントされます。キャッシュされた資格情報や、古い資格情報を使用して他のコンピューターにログインしていることなど、その他のことも試行回数としてカウントされる可能性があります。
この部分はもう関係ありません。
さらに、アカウントの場所は非常に重要です。 アカウントが実際にActive Directoryドメインアカウントである場合ローカルマシンのポリシーはアカウントのロックアウトには影響しません。 ドメインコントローラのグループポリシー設定を確認する必要があります(例: DC で GPResult を実行します)。ドメインに保存されているアカウントはコンピューターに対して認証されず、ロックアウトはローカル ワークステーションではなくドメイン コントローラーでトリガーされます。ローカルに保存されているアカウントは GPResult に従いますが、WinLogon サービスは新しい GPO 設定で再初期化する必要があるため、コンピューターを再起動した後でのみ従います。(再起動せずにすべての GPO 設定を適用できるわけではありません)。
答え2
グループ ポリシーの場合、「未定義」は、「NOT SET」、FALSE、またはその他の意味と同じではありません。
未定義はグループポリシー分析しているレベルでWindows のデフォルトは変更されません。
また、定義されているセキュリティ スコープ (非ドメイン メンバー上のローカル) が低いかどうかを確認する必要がある場合もあります。
- これが定義されていない場合の Windows のデフォルトのアクションは何ですか。ロックアウトになるのではないかと思いますが、参照できる具体的なリンクが見つかりません。
または、答えに直接ジャンプすることもできます: - 何らかの理由でこの便利なセキュリティ設定をバイパスしたい場合は、アカウント ロックアウトのしきい値をより高いエラー数に設定し、保護を有効のままにします .....