web-dev-qa-db-ja.com

Active Directoryアカウントがロックアウトされるのを防ぐことはできますか?

特にx回の失敗したログオン試行の後、特定のユーザーアカウントがロックアウトするのを防ぐADUC設定はありますか?ああ、私たちのDCは現在Server 2003にありますが、他の環境ではServer 2008 DCも使用しています。

6
Bob

それはできますが、それでもGPOが必要です。必要な設定を含むGPOを作成し、ACLから「グループポリシーの適用」権限を削除します。パスワードロックアウトから削除するグループを作成し、ユーザーを追加しますグループに追加し、そのグループにGPOの「グループポリシーの適用」権限を割り当てます。

GPOは次の順序で適用されることに注意してください。

ローカルサイトドメインOU

したがって、新しいGPOを正しいレベルで適用して、その下に何かが踏みつけられないようにしてください。

2
Gary Baalman

推奨されるアプローチは、Windows Server 2003 DCから移動し、ドメインをWindows 2008機能レベルに構成することです。これにより、Windows Server 2008の新機能の1つである、複数のパスワードとアカウントのロックアウトポリシーを利用できるようになります。

AD DSきめ細かいパスワードとアカウントロックアウトのポリシーのステップバイステップガイド
http://technet.Microsoft.com/en-us/library/cc770842%28v=ws.10%29.aspx

Active Directoryドメインとフォレストの機能レベルを上げる方法
http://support.Microsoft.com/kb/322692

1
Greg Askew

これらのアカウントに空白のパスワードを許可しないのはなぜでしょうか。これは、無制限の試行を許可するのと同じ(aの欠如)セキュリティー・レベルです。または、別のGPOをパスワードの最大試行回数を許可するアカウントに適用する(その数が何であれ))か、ロックアウト期間をできるだけ短く設定して、アカウントのロックはすぐに解除され、実際には気付かれません。

もちろん、理想的な解決策はこれらの人々に実際にパスワードを覚えさせることですが、私はこれらが上級管理者であると推測しています。

1
John Gardeniers

簡単な答えは http://technet.Microsoft.com/en-us/library/cc781491(WS.10).aspx ですが、serverfault.comでこれを確認する必要があります。

0
dotalchemy