Active Directoryアカウントがロックアウトされるのを防ぐことはできますか?
特にx回の失敗したログオン試行の後、特定のユーザーアカウントがロックアウトするのを防ぐADUC設定はありますか?ああ、私たちのDCは現在Server 2003にありますが、他の環境ではServer 2008 DCも使用しています。
それはできますが、それでもGPOが必要です。必要な設定を含むGPOを作成し、ACLから「グループポリシーの適用」権限を削除します。パスワードロックアウトから削除するグループを作成し、ユーザーを追加しますグループに追加し、そのグループにGPOの「グループポリシーの適用」権限を割り当てます。
GPOは次の順序で適用されることに注意してください。
ローカルサイトドメインOU
したがって、新しいGPOを正しいレベルで適用して、その下に何かが踏みつけられないようにしてください。
推奨されるアプローチは、Windows Server 2003 DCから移動し、ドメインをWindows 2008機能レベルに構成することです。これにより、Windows Server 2008の新機能の1つである、複数のパスワードとアカウントのロックアウトポリシーを利用できるようになります。
AD DSきめ細かいパスワードとアカウントロックアウトのポリシーのステップバイステップガイド
http://technet.Microsoft.com/en-us/library/cc770842%28v=ws.10%29.aspx
Active Directoryドメインとフォレストの機能レベルを上げる方法
http://support.Microsoft.com/kb/322692
これらのアカウントに空白のパスワードを許可しないのはなぜでしょうか。これは、無制限の試行を許可するのと同じ(aの欠如)セキュリティー・レベルです。または、別のGPOをパスワードの最大試行回数を許可するアカウントに適用する(その数が何であれ))か、ロックアウト期間をできるだけ短く設定して、アカウントのロックはすぐに解除され、実際には気付かれません。
もちろん、理想的な解決策はこれらの人々に実際にパスワードを覚えさせることですが、私はこれらが上級管理者であると推測しています。
簡単な答えは http://technet.Microsoft.com/en-us/library/cc781491(WS.10).aspx ですが、serverfault.comでこれを確認する必要があります。