我正在嘗試更改我們網域中所有使用者的帳戶鎖定閾值。閾值應該是 3,但是有些用戶在輸錯一次密碼後就會被鎖定,而其他用戶可能會嘗試六到七次才會被鎖定。
我們有 Windows Server 2008 R2,所有使用者都在一個網域中。在群組原則管理中,我嘗試遵循 [GPO]\電腦設定\Windows 設定\安全設定\帳戶原則\密碼原則的群組原則路徑,但我的 GPO(現有或新建立的)都沒有帳戶原則設定在安全設定下。我已經探索了所有不同的路徑來尋找它,但我沒有運氣。我也嘗試從伺服器管理員執行此操作,但結果相同。
我嘗試過MMC.exe,在此建立的GPO具有正確的路徑,但此處建立的GPO似乎僅與電腦相關聯,而不與整個網域相關聯。我在本地電腦(伺服器)上設定了一個,它似乎會影響某些用戶,但不會影響其他用戶。
我懷疑該問題的可能原因(或貢獻者)可能是帳戶鎖定 GPO 的 SYSVOL 檔案遺失。這是我開始在這裡工作之前就存在的 GPO,並被試圖修復鎖定問題的人禁用。我不確定 SYSVOL 檔案何時、為何或由誰刪除/移動。由於 SYSVOL 檔案遺失,當我嘗試查看此 GPO 時,我只是收到一條錯誤訊息,指出電腦找不到指定的路徑,並且我可能沒有權限。
我一直在網上研究在這種情況下該怎麼做,但尚未發現任何有用的信息。我將不勝感激任何解決方案或建議,因為我對此相當陌生,很快就沒有想法了。
答案1
這可能是由於您的預設 FGPP 有問題。
讀本文。
您可以透過檢查特定使用者的 msDS-ResultantPSO 來了解 FGPP 適用於該使用者的內容。
您可以像這樣使用 Powershell:
Get-ADUser -LDAPFilter '(&(objectCategory=person)(objectClass=user)(SamAccountName=JohnG))' -Properties msDS-ResultantPSO
您可以透過將使用者(或使用者所屬的群組)新增至相關 PSO 來修正此問題(如上面的連結文章所示)。
此外,一般來說,應用本地 GPO 並不是一個好主意。
您應該針對您的 DC 應用特定的策略。