Windows-Server-2008-R2

找不到路徑時如何更改帳戶鎖定門檻值

  • June 4, 2015

我正在嘗試更改我們域上所有使用者的帳戶鎖定門檻值。門檻值應該是三,但有些使用者在輸入錯誤密碼後被鎖定,有些使用者可以嘗試六七次才被鎖定。

我們有 Windows Server 2008 R2,所有使用者都在一個域中。在組策略管理中,我嘗試遵循組策略路徑

$$ GPO $$\Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy,但我的 GPO(現有或新創建的)都沒有安全設置下的帳戶策略設置。我已經擴展了所有不同的路徑來尋找它,但我沒有運氣。我也嘗試從伺服器管理器執行此操作,結果相同。 我已經嘗試過MMC.exe,並且在此創建的GPO具有正確的路徑,但此處創建的GPO似乎只與電腦相關聯,而不是與整個域相關聯。我在本地電腦(伺服器)上設置了一個,它似乎影響了一些使用者,但不影響其他使用者。

我懷疑問題的可能原因(或促成因素)可能是帳戶鎖定 GPO 缺少 SYSVOL 文件。這是一個 GPO,在我開始在這里工作之前就已經存在,並且被試圖解決鎖定問題的人禁用。我不確定 SYSVOL 文件何時、為何或由誰刪除/移動。由於缺少 SYSVOL 文件,我只是收到一條錯誤消息,提示電腦找不到指定的路徑,並且當我嘗試查看此 GPO 時我可能沒有權限。

我一直在網上研究在這種情況下該怎麼做,但還沒有遇到任何有用的東西。我將不勝感激任何解決方案或建議,因為我對此相當陌生,並且很快就沒有想法了。

這可能是由於您的預設 FGPP 存在問題。

閱讀這篇文章

您可以通過查看特定使用者的 msDS-ResultantPSO 來查看 FGPP 適用於特定使用者的內容。

您可以像這樣使用 Powershell:

Get-ADUser -LDAPFilter '(&(objectCategory=person)(objectClass=user)(SamAccountName=JohnG))' -Properties msDS-ResultantPSO

您可以通過將使用者(或使用者所屬的組)添加到相關 PSO(由上面的連結文章展示)來糾正此問題。

此外,一般來說,應用本地 GPO 並不是一個好主意。

您應該在 DC 上應用特定的策略。

引用自:https://serverfault.com/questions/688507