Windows

通過組策略鎖定本地帳戶

  • July 5, 2012

是否可以通過組策略設置帳戶鎖定門檻值,但它僅適用於成員工作站上的本地帳戶而不適用於域登錄?

是的,這是可能的。

域使用者的帳戶鎖定策略由預設域策略或預設域控制器策略對像中的設置定義。文件不清楚(請參閱此處並與此處比較)其中哪些預設包含域使用者設置,並且沒有描述使用者帳戶的設置如何位於非預設配置中。它可能取決於 Windows Server 的版本。無論如何,我們可以很容易地避免依賴於確切的行為。

您的成員工作站應該已經位於一個或多個 OU 中。如果您創建組策略對象並將其應用於這些 OU,則該 GPO 中的帳戶鎖定策略設置將優先於預設域策略對象(如果有)中的設置。預設域控制器策略對象僅適用於域控制器 OU,因此它們在任何情況下都不會影響您的成員伺服器。

如果您不將 GPO 應用到域的根目錄、域控制器 OU 或站點級別,那麼它肯定不會影響域使用者帳戶,即使這些帳戶正在登錄有問題的伺服器。(應該可以將GPO應用到域的根目錄並使其工作,但是細節有點複雜所以我不建議嘗試。)

引用自:https://serverfault.com/questions/404833