none
AD域账户锁定时间 RRS feed

  • 问题

  • 【背景描述】:AD域控是 2016 Datacenter ,锁定策略准备通过:default Domain Policy  启用,全局设置

    一、释义:释义的理解是否正确?

    帐户锁定阈值:账户错误次数

    帐户锁定时间:账户锁定时间

    重置账户锁定计数器:账户锁定时间长度后,自动解锁?

    上图为例:密码输入错误10次后就锁定,锁定10分钟,10分钟后自动解锁?

    二、和AD集成的系统的对接认证的账号,有什么影响?(服务账号)应该如何设置?




    • 已编辑 super.ma 2020年6月24日 4:46 增加描述
    2020年6月24日 4:44

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    以下是对我们问题的回复:

    一、释义:释义的理解是否正确? 
    >>第一个和第二个理解是正确的。

    帐户锁定阈值:账户错误次数
    >>理解的是对的,也就是说在使用凭据登录或者访问时,账号或者密码输错了,登录或者访问会失败,这样的错误尝试的次数。

    帐户锁定时间:账户锁定时间
    >>理解的是对的,也就是账号被锁定的那一刻开始,账号保持锁定状态的时长。

    重置账户锁定计数器:账户锁定时间长度后,自动解锁?
    >>这个理解的不对呢。正确的理解如下:假设对于一个账号而言,账户锁定计数器的任务就是每一次这个账号或者密码输错了,这个账号锁定计数器就会记录一次这个账号凭据被输错了(例如,加1),当第二次又输错了账号或者密码,这个账号锁定计数器又记录一次(在原来的基础上再加1,假设是2),直到错误的次数累计到帐户锁定阈值(假设就是您的例子中的10次),那么这个账号就被锁定了 (前提是这10次错误登录都是在10分钟内操作的)。

    重置账户锁定计数器:假设就按照您的例子中的10分钟,假设我在10分钟之内输错了两次凭据,那么账户锁定计数器就会记录2次,这时候我的账号不会被锁定,从第一次开始登录的这10分钟内,我还有8次输错凭据的机会。那么我过10分钟后又一次输了错误的凭据登录,然后账户锁定计数器就会记录1次(因为10分钟以后,这个账户锁定计数器被重置为0了),我还有9次机会输错密码,账号才会被锁。

    二、和AD集成的系统的对接认证的账号,有什么影响?(服务账号)应该如何设置?
    >>请问您是咨询这个账号锁定策略对AD域账号有什么影响吗?如果是的话,因为默认的域策略上(Default Domain Policy)配置的账号锁定策略是计算机策略,那么这些策略是应用给加域的计算机对象的,当这些计算机连接到域的网络的时候,如果有用户(域用户或者本地用户)登录到这些计算机,计算机就会应用这些账号锁定策略。




    (服务账号)应该如何设置?
    >>从以下这个文章来看,服务账号不应用账号锁定策略。
    Active Directory Managed Service Accounts (PowerShell Guide)
    http://www.rebeladmin.com/2018/01/active-directory-managed-service-accounts-powershell-guide/

    新建的服务账号不知道密码是什么,也没有重置密码的选项(如下图,右击服务账号没有重置密码的选项),从以上的文章来看,服务帐户具有以下功能和局限性,:

    •不再进行密码管理。 它使用复杂的,随机的,240个字符的密码,并在到达域或计算机密码过期日期时自动更改。
    •不能锁定或用于交互式登录。
    •一个托管服务帐户只能在一台计算机上使用。 不能在多台计算机之间共享。
    •简化的SPN管理–如果计算机的sAMaccount详细信息更改或DNS名称属性更改,系统将自动更改SPN值。



    希望以上的信息对您有帮助,如有任何疑问或者问题,欢迎您随时咨询我们。

    注意:此回复中包含第三方链接,我们提供此链接旨在于方便参考, Microsoft 不能保证此链接中的任何信息和内容的有效性。




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年6月25日 3:38
    版主
  • 以下是对我们问题的回复:


    一、释义:释义的理解是否正确? 
    >>第一个和第二个理解是正确的。

    帐户锁定阈值:账户错误次数
    >>理解的是对的,也就是说在使用凭据登录或者访问时,账号或者密码输错了,登录或者访问会失败,这样的错误尝试的次数。

    帐户锁定时间:账户锁定时间
    >>理解的是对的,也就是账号被锁定的那一刻开始,账号保持锁定状态的时长。

    重置账户锁定计数器:账户锁定时间长度后,自动解锁?
    >>这个理解的不对呢。正确的理解如下:假设对于一个账号而言,账户锁定计数器的任务就是每一次这个账号或者密码输错了,这个账号锁定计数器就会记录一次这个账号凭据被输错了(例如,加1),当第二次又输错了账号或者密码,这个账号锁定计数器又记录一次(在原来的基础上再加1,假设是2),直到错误的次数累计到帐户锁定阈值(假设就是您的例子中的10次),那么这个账号就被锁定了 (前提是这10次错误登录都是在10分钟内操作的)。

    重置账户锁定计数器:假设就按照您的例子中的10分钟,假设我在10分钟之内输错了两次凭据,那么账户锁定计数器就会记录2次,这时候我的账号不会被锁定,从第一次开始登录的这10分钟内,我还有8次输错凭据的机会。那么我过10分钟后又一次输了错误的凭据登录,然后账户锁定计数器就会记录1次(因为10分钟以后,这个账户锁定计数器被重置为0了),我还有9次机会输错密码,账号才会被锁。

    现在明白了,“账户锁定时间”+“锁定阈值”,是在“重置账户锁定计数器”时长这个频率周期下进行的

    “账户锁定时间” 10分钟

    “锁定阈值”  10分钟

    “重置账户锁定计数器”  十分钟

    共同组合的意思是:账户在十分钟内,输入10次错误,就会锁定10分钟,对吧?

    一般:“账户锁定时间” 10分钟 +“锁定阈值”  10分钟 建议设置 “重置账户锁定计数器”   多少分钟?

    2020年6月26日 14:56
  • 二、和AD集成的系统的对接认证的账号,有什么影响?(服务账号)应该如何设置?
    >>请问您是咨询这个账号锁定策略对AD域账号有什么影响吗?如果是的话,因为默认的域策略上(Default Domain Policy)配置的账号锁定策略是计算机策略,那么这些策略是应用给加域的计算机对象的,当这些计算机连接到域的网络的时候,如果有用户(域用户或者本地用户)登录到这些计算机,计算机就会应用这些账号锁定策略。




    (服务账号)应该如何设置?
    >>从以下这个文章来看,服务账号不应用账号锁定策略。
    Active Directory Managed Service Accounts (PowerShell Guide)
    http://www.rebeladmin.com/2018/01/active-directory-managed-service-accounts-powershell-guide/

    新建的服务账号不知道密码是什么,也没有重置密码的选项(如下图,右击服务账号没有重置密码的选项),从以上的文章来看,服务帐户具有以下功能和局限性,:

    •不再进行密码管理。 它使用复杂的,随机的,240个字符的密码,并在到达域或计算机密码过期日期时自动更改。
    •不能锁定或用于交互式登录。
    •一个托管服务帐户只能在一台计算机上使用。 不能在多台计算机之间共享。
    •简化的SPN管理–如果计算机的sAMaccount详细信息更改或DNS名称属性更改,系统将自动更改SPN值。



    希望以上的信息对您有帮助,如有任何疑问或者问题,欢迎您随时咨询我们。

    注意:此回复中包含第三方链接,我们提供此链接旨在于方便参考, Microsoft 不能保证此链接中的任何信息和内容的有效性。




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    =》1、请问您是咨询这个账号锁定策略对AD域账号有什么影响吗?

    是的,想咨询设置  ,如下图所示:对域账号的影响

    “账户锁定时间” 10分钟

    “锁定阈值”  10分钟

    “重置账户锁定计数器”  十分钟

      2、服务账号的设置

    业务系统A 和AD集成认证,需要设置一个域账号A-m-adap:账号不过期+密码永不过期+密码不可修改,在业务系统A里面p配置A-m-ldap,输入该账号的域账号和域密码,用来让域账号登陆A 业务系统,

    这种方式貌似错误?

    http://www.rebeladmin.com/2018/01/active-directory-managed-service-accounts-powershell-guide/

    打不开

    2020年6月26日 15:06
  • 尊敬的客户,您好!

    很抱歉,才回复您。

    一般:“账户锁定时间” 10分钟 +“锁定阈值”  10分钟 建议设置 “重置账户锁定计数器”   多少分钟?

    >>“重置账户锁定计数器”可以是10分钟,20分钟,30分钟 (默认是30分钟)或者其他的自定义的值。

    共同组合的意思是:账户在十分钟内,输入10次错误,就会锁定10分钟,对吧?

    <<是的。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年7月6日 8:10
    版主
  • 尊敬的客户,您好!

    1、请问您是咨询这个账号锁定策略对AD域账号有什么影响吗?


    是的,想咨询设置  ,如下图所示:对域账号的影响

    “账户锁定时间” 10分钟

    “锁定阈值”  10分钟

    “重置账户锁定计数器”  十分钟

    >>这个配置对正常的域用户账号没有什么影响。

      2、服务账号的设置

    以上的链接中主要的内容,我截图给您看下:







    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年7月6日 8:16
    版主
  • 尊敬的客户,您好!

    1、请问您是咨询这个账号锁定策略对AD域账号有什么影响吗?


    是的,想咨询设置  ,如下图所示:对域账号的影响

    “账户锁定时间” 10分钟

    “锁定阈值”  10分钟

    “重置账户锁定计数器”  十分钟

    >>这个配置对正常的域用户账号没有什么影响。

      2、服务账号的设置

    以上的链接中主要的内容,我截图给您看下:







    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    一、定义:

    AD  中的其它系统基于AD 的ldap 认证,需要域账号进行认证,这类账号叫“服务账号”?

    我们一般随便新建一个AD 域账号,设置账号永不过期,密码不修改,还需要其它设置?


    二、如何设置服务账号?


    • 已编辑 super.ma 2020年7月6日 13:25 增加描述
    2020年7月6日 13:24
  • 尊敬的客户,您好!

    感谢您的回复。

    一、定义:

    AD中的其它系统基于AD 的ldap 认证,需要域账号进行认证,这类账号叫“服务账号”?
    >>这类账号就是普通的域用户账号。

    我们一般随便新建一个AD 域账号,设置账号永不过期,密码不修改,还需要其它设置?
    >>一般新建一个AD域用户账号,就是指定账号名字和密码就可以了。

    二、如何设置服务账号?

    请问您是咨询怎么创建服务账号吗?如果是的话,以管理员身份打开powerShell,运行命令:New-ADServiceAccount -Name "servicename"。
    如果不行话,那就运行以下的命令:



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年7月7日 9:13
    版主
  • 尊敬的客户,您好!

    感谢您的回复。

    一、定义:

    AD中的其它系统基于AD 的ldap 认证,需要域账号进行认证,这类账号叫“服务账号”?
    >>这类账号就是普通的域用户账号。

    我们一般随便新建一个AD 域账号,设置账号永不过期,密码不修改,还需要其它设置?
    >>一般新建一个AD域用户账号,就是指定账号名字和密码就可以了。

    二、如何设置服务账号?

    请问您是咨询怎么创建服务账号吗?如果是的话,以管理员身份打开powerShell,运行命令:New-ADServiceAccount -Name "servicename"。
    如果不行话,那就运行以下的命令:



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    感谢你的回复

    我的诉求是表达:

    三、我们的这类账号是不是应该创建服务账号即可?且在Managed Service Account 组

    不应该创建一个普通域账号(设定密码不过期,账号不过期,密码不修改)?

    如果是,如果把这类账号转换成“Managed Service Account ”?是否有必要改成:“Managed Service Account ”?

    四、影响:

    帐户锁定阈值:账户错误次数

    帐户锁定时间:账户锁定时间

    重置账户锁定计数器:

    和AD集成的系统的对接认证的账号,有什么影响?
    >>请问您是咨询这个账号锁定策略对AD域账号有什么影响吗?如果是的话,因为默认的域策略上(Default Domain Policy)配置的账号锁定策略是计算机策略,那么这些策略是应用给加域的计算机对象的,当这些计算机连接到域的网络的时候,如果有用户(域用户或者本地用户)登录到这些计算机,计算机就会应用这些账号锁定策略。

    主要是前面配置的ldap 连接账号,是普通域账号,如果有人知道这个账号,在PC端或者应用端反复试这个账号的密码,就会因为前面的锁定策略,会锁定账号,带来业务系统不可用风险

    示例一:

    业务系统和AD认证,首先需要该系统通过一个域账号和AD 通过ldap协议对接起来,普通用户通过域账号登录该因为系统

    示例二:业务系统和AD的laap协议认证,且同步AD 域账号的相关属性

    • 已编辑 super.ma 2020年7月7日 23:03 增加描述
    2020年7月7日 22:44
  • 尊敬的客户,您好!

    感谢您的回复。

    很抱歉,我们对您的业务系统不太了解。业务系统需要使用什么样的账号取决于业务系统的功能和业务系统的原理,如果就应该使用域用户账号,那么就必须使用域用户账号呢。
    您使用的业务系统是微软的还是三方的?如果是三方的业务系统,是否有对应的系统厂商,您可以咨询一下。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年7月8日 8:51
    版主