我今天三次輸錯密碼,我的帳戶在 Windows 8.1 pro 工作站上被鎖定。我檢查了策略結果集 (rsop.msc),所有三個相關設定均為“未定義”
- 帳號鎖定時長
- 帳戶鎖定閾值
- 之後重設帳戶鎖定計數器
“帳戶鎖定閾值”預設為“0”,“如果將該值設為0,則帳戶永遠不會被鎖定。”
謝謝
更新:
我運行了 gpresult /h [filename] 並且根本沒有定義鎖定策略(確認我的所有其他評論)
答案1
RSOP 支援已被棄用。根據http://deployhappiness.com/gpresult-or-rsop/
“從 Windows Vista SP1 開始,Microsoft 將 GPResult 命令作為客戶端群組原則故障排除的主要工具。”
基本上,為了確保您獲得計算機上策略的完整結果,您需要使用 GPResult 而不是 RSOP。
但是,您的帳戶位於網域控制器上,因此網域的政策適用於鎖定。無論進行多少調整、設定或政策編輯都不會改變本地工作站上的情況。每當您輸入密碼時,網域都必須對其進行身份驗證,並且它將計入您的嘗試次數。其他事情也可能會對您的嘗試產生影響,例如快取的憑證,或使用過時的憑證登入其他電腦。
這部分不再相關。
此外,帳戶的位置非常重要! 如果該帳戶實際上是 Active Directory 網域帳戶,您的本機機器策略不會影響您的帳戶鎖定, 您必須檢查網域控制器的群組原則設定(例如在 DC 上執行 GPResult)。儲存在網域中的帳戶不會針對您的電腦進行身份驗證,並且鎖定是在網域控制器上觸發的,而不是在您的本機工作站上觸發。本機儲存的帳戶將遵循 GPResult,但只有在您重新啟動電腦後,因為 WinLogon 服務必須使用新的 GPO 設定重新初始化。 (並非所有 GPO 設定都可以在不重新啟動的情況下套用)。
答案2
對於群組策略,「未定義」與「未設定」、FALSE 或任何其他含義不同。
未定義表示群組原則在您正在分析的級別不更改 Windows 預設值。
您可能還需要查看 - 是否存在定義的較低安全範圍(非網域成員本地)。
- 未定義時,Windows 預設操作是什麼。我懷疑這是鎖定,但我沒有找到可以推薦給您的具體連結。
或者您可能想直接跳到答案: - 如果由於某種原因您想繞過這個有用的安全設置,請將帳戶鎖定閾值設置為更高的錯誤數並允許保護保持啟用狀態...