Ich versuche, den Kontosperrungsschwellenwert für alle Benutzer in unserer Domäne zu ändern. Der Schwellenwert sollte drei betragen, aber es gibt Benutzer, die nach einem falsch eingegebenen Passwort gesperrt werden, und andere, die es sechs oder sieben Mal versuchen können, bevor sie gesperrt werden.
Wir haben Windows Server 2008 R2 und alle Benutzer befinden sich in einer einzigen Domäne. In der Gruppenrichtlinienverwaltung habe ich versucht, dem Gruppenrichtlinienpfad [GPO]\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie zu folgen, aber keine meiner GPOs (bestehende oder neu erstellte) haben eine Kontorichtlinieneinstellung unter Sicherheitseinstellungen. Ich habe alle verschiedenen Pfade erweitert, um danach zu suchen, und hatte kein Glück. Ich habe dies auch vom Server-Manager aus versucht, mit demselben Ergebnis.
Ich habe MMC.exe ausprobiert und die darin erstellten GPOs haben den richtigen Pfad, aber die hier erstellten GPOs scheinen nur mit Computern verknüpft zu sein, nicht mit der Domäne als Ganzes. Ich habe eines auf dem lokalen Computer (dem Server) eingerichtet und es schien einige Benutzer zu betreffen, andere jedoch nicht.
Ich vermute, dass eine mögliche Ursache (oder ein Beitrag) zu dem Problem eine fehlende SYSVOL-Datei für eine GPO zur Kontosperrung sein könnte. Dies ist eine GPO, die existierte, bevor ich hier zu arbeiten begann, und die von jemandem deaktiviert wurde, der versuchte, die Sperrprobleme zu beheben. Ich bin mir nicht sicher, wann, warum oder von wem die SYSVOL-Datei gelöscht/verschoben wurde. Da die SYSVOL-Datei fehlt, erhalte ich einfach eine Fehlermeldung, dass der Computer den angegebenen Pfad nicht finden kann und ich möglicherweise keine Berechtigungen habe, wenn ich versuche, diese GPO anzuzeigen.
Ich habe online recherchiert, was in dieser Situation zu tun ist, aber bisher nichts Hilfreiches gefunden. Ich wäre für jede Lösung oder jeden Rat dankbar, da ich noch relativ neu in diesem Bereich bin und mir schnell die Ideen ausgehen.
Antwort1
Dies könnte auf ein Problem mit Ihrem Standard-FGPP zurückzuführen sein.
Lesen SieDieser Artikel.
Sie können sehen, welches FGPP auf einen bestimmten Benutzer angewendet wird, indem Sie sein msDS-ResultantPSO überprüfen.
Sie können Powershell wie folgt verwenden:
Get-ADUser -LDAPFilter '(&(objectCategory=person)(objectClass=user)(SamAccountName=JohnG))' -Properties msDS-ResultantPSO
Sie können dies korrigieren, indem Sie den Benutzer (oder eine Gruppe, zu der der Benutzer gehört) zum entsprechenden PSO hinzufügen (wie im oben verlinkten Artikel gezeigt).
Außerdem ist die Anwendung lokaler Gruppenrichtlinienobjekte im Allgemeinen keine gute Idee.
Sie sollten eine Richtlinie speziell auf Ihre DCs anwenden.