none
组策略account lockout policy问题 RRS feed

  • 问题

  • 1、目标:域内账户,3次密码错误,账户锁定,该设置为计算机策略,到底在default domain policy 还是 default domain controller policy启用该策略?按照我的理解,该策略应用在域控dc上(default domain controller policy)即可,无需应用到域内全部计算机用户,是否?

    2、密码锁定策略触发为 :  *次无效登录,域账户对于无效登录的定义是通过域控制器的身份验证失败?ntlm,kerberos,basic auth 均会触发无效登录?  

    3、关于域账户的触发锁定的无效登录,是否有详尽的日志可以查看?

    2020年6月10日 11:04

答案

  • 你好,

    1,如你所说,账户锁定策略为计算机策略并且每个域里面只存在一个账户策略。所以账户策略应该再default domain policy 里面部署。这会应用到所有的计算机用户。(默认domain administrator 不会被锁定)

    2,NTLM ,KERBEROS均会导致账户锁定。

    3,可以在客户端启用账号登录的审核策略,一般在排查庄户锁定的时候会启用。

    更多关于账户策略的内容,可参考:https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/account-policies

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    • 已标记为答案 nelson2004 2020年6月11日 9:27
    2020年6月11日 0:55