우리 도메인의 모든 사용자에 대한 계정 잠금 임계값을 변경하려고 합니다. 임계값은 3이어야 하지만 비밀번호를 한 번 잘못 입력하면 잠기는 사용자도 있고, 6~7번 시도하면 잠기는 사용자도 있습니다.
Windows Server 2008 R2가 있고 모든 사용자가 단일 도메인에 있습니다. 그룹 정책 관리에서 [GPO]\컴퓨터 구성\Windows 설정\보안 설정\계정 정책\비밀번호 정책의 그룹 정책 경로를 따르려고 시도했지만 내 GPO(기존 또는 새로 만든 GPO) 중 어느 것도 계정 정책 설정이 없습니다. 보안 설정에서. 나는 그것을 찾기 위해 다양한 경로를 모두 확장했지만 운이 없었습니다. 나는 또한 동일한 결과를 가지고 서버 관리자에서 이 작업을 시도했습니다.
MMC.exe를 시도했는데 여기서 생성된 GPO의 경로는 올바른데 여기서 생성된 GPO는 도메인 전체가 아닌 컴퓨터에만 연결되는 것 같습니다. 로컬 컴퓨터(서버)에 하나를 설정했는데 일부 사용자에게는 영향을 주지만 다른 사용자에게는 영향을 미치지 않는 것 같습니다.
문제의 가능한 원인(또는 기여자)이 계정 잠금 GPO에 대한 SYSVOL 파일 누락일 수 있다고 생각합니다. 이것은 제가 여기서 일하기 전에 존재했던 GPO이며 잠금 문제를 해결하려는 누군가에 의해 비활성화되었습니다. 언제, 왜, 누가 SYSVOL 파일을 삭제/이동했는지 잘 모르겠습니다. SYSVOL 파일이 없기 때문에 이 GPO를 보려고 하면 컴퓨터가 지정된 경로를 찾을 수 없으며 권한이 없을 수 있다는 오류가 표시됩니다.
저는 이 상황에서 어떻게 해야 할지 온라인으로 조사해 왔지만 아직 도움이 되는 내용을 찾지 못했습니다. 나는 이것에 상당히 익숙하지 않고 아이디어가 빨리 부족하기 때문에 해결책이나 조언을 주시면 감사하겠습니다.
답변1
이는 기본 FGPP에 문제가 있기 때문일 수 있습니다.
읽다이 기사.
msDS-ResultantPSO를 확인하면 특정 사용자에게 어떤 FGPP가 적용되는지 확인할 수 있습니다.
Powershell을 다음과 같이 사용할 수 있습니다.
Get-ADUser -LDAPFilter '(&(objectCategory=person)(objectClass=user)(SamAccountName=JohnG))' -Properties msDS-ResultantPSO
사용자(또는 사용자가 속한 그룹)를 관련 PSO에 추가하여 이 문제를 해결할 수 있습니다(위 링크된 문서에서 설명).
또한 일반적으로 로컬 GPO를 적용하는 것은 좋은 생각이 아닙니다.
DC에 특정 정책을 적용해야 합니다.