Ich habe eine Gruppenrichtlinie, die Kennwortrichtlinien und eine Abmelderichtlinie nach einer festgelegten Anzahl ungültiger Versuche definiert:
Ich habe sichergestellt, dass dieses GPO auf Domänenebene angewendet wird.
Kennwortrichtlinien sind problemlos anwendbar und funktionieren ordnungsgemäß. Warum ist dies bei der Kontosperrungsrichtlinie nicht der Fall?
Powershell-Ergebnis:
Antwort1
Basierend auf Ihrer Antwort in den Kommentaren:
Fehlgeschlagene Kennworteingaben auf Arbeitsstationen oder Mitgliedsservern, die mit STRG+ALT+ENTF gesperrt wurden, oder auf kennwortgeschützten Bildschirmschonern werden nicht als fehlgeschlagene Anmeldeversuche gezählt, es sei denn,Interaktive Anmeldung: Domänencontroller-Authentifizierung zum Entsperren der Arbeitsstation erforderlichist eingestellt aufErmöglicht.Bei interaktiver Anmeldung: Domänencontroller-Authentifizierung zum Entsperren der Arbeitsstation erforderlichaktiviert ist, werden wiederholte fehlgeschlagene Kennwortversuche zum Entsperren der Arbeitsstation auf den Schwellenwert für die Kontosperrung angerechnet.
https://technet.microsoft.com/en-us/library/hh994574(v=ws.11).aspx
Antwort2
Sie irren sich. Diese Richtlinie muss NICHT festgelegt werden, damit die Sperre auf gesperrten Arbeitsstationen funktioniert. Dies gilt NUR: Wenn zwischengespeicherte Anmeldeinformationen verwendet werden, werden alle ÄNDERUNGEN, DIEKÜRZLICH GEMACHTAm Konto vorgenommene Änderungen (wie z. B. die Zuweisung von Benutzerrechten, die Sperrung des Kontos oder die Deaktivierung des Kontos) werden nach diesem Authentifizierungsprozess nicht berücksichtigt oder angewendet.
Ich habe dies getestet und Arbeitsstationen, die einfach gesperrt sind, werden gemäß der Gruppenrichtlinie gesperrt.