在本文中,您将学习如何在Active Directory中配置帐户锁定策略。我们将研究Active Directory帐户锁定策略的可用选项,并学习如何配置它们。
Active Directory帐户锁定策略是一种安全策略,允许管理员确定何时锁定用户帐户以及锁定多长时间。
在一个组织中,一些员工可能试图通过尝试不同的密码登录到其他用户的帐户。目的是获得访问其他用户的帐户和信息。的帐户锁定策略防止未经授权访问计算机的好方法在哪里活动目录环境.
总之,通过使用active directory帐户锁定策略,可以避免对计算机的未经授权的访问。由于锁定功能,入侵者无法通过猜测密码进入系统。在本文中,我们将向您展示如何在Active Directory域中配置和管理帐户锁定策略。
在你继续阅读之前,这里有一些关于Active Directory的有用帖子:
- 使用Ntdsutil重置DSRM管理员密码
- 查找用户的最后登录时间使用4个简单的方法
- 如何使用PowerShell解锁用户
- 允许域用户将计算机添加到域
- 创建细粒度密码策略
- 如何启用Active Directory回收站
如何配置Active Directory下的帐户锁定策略
现在,我们将介绍在Active Directory中配置帐户锁定策略的步骤。执行以下步骤访问帐户锁定策略设置。登录已安装组策略管理工具的Windows Server。启动服务器管理器并点击工具>组策略管理.
在组策略管理控制台中,展开域并右键单击默认域策略并选择编辑.如果希望使用自定义策略配置帐户锁定,可以创建一个新的GPO并将其链接到您的域。
在组策略编辑器,去电脑配置>窗口设置>安全设置>账户的政策.
选择帐户锁定策略您将在Active Directory中找到三个帐户锁定策略选项。
- 帐户锁定时间
- 帐户锁定阈值
- 重置帐户锁定计数器后
在下一节中,我们将详细讨论每个帐户锁定设置。
配置帐户锁定时间
帐户锁定时长安全设置确定被锁定的帐户在自动解锁前被锁定的总分钟数。锁定持续时间范围从0分钟到99999分钟。
如果将帐户锁定时间设置为0,该帐户将被锁定,直到管理员显式解锁。如果设置了帐户锁定阈值,则锁定时间必须大于等于重置时间。
在30分钟内设置此策略的默认值,我们将保持该值不变。
当用户锁定时长设置为30分钟时,其他两种策略的设置也会发生变化。帐户锁定阈值和重置帐户锁定计数器后将自动设置新的值。
配置帐户锁定阈值
帐户锁定阈值安全设置确定了导致用户帐户被锁定的登录失败次数。被锁定的帐户必须由管理员重新设置或超过锁定时间后才能使用。
登录失败次数阈值可设置在0到999之间。如果设置为0,帐户将永远不会被锁定。对已使用其中之一锁定的工作站或成员服务器的密码尝试失败CTRL+ALT+删除或者有密码保护的屏幕保护程序被视为登录失败。
启用定义此策略设置并为无效登录尝试配置值。在下面的示例中,帐户锁定阈值设置为5无效的登录尝试。
配置“重置账户锁定计数器后”
安全设置后的重置帐户锁定计数器确定在失败登录尝试计数器重置为0错误登录尝试之前,失败登录尝试计数器必须经过的分钟数。
取值范围为1分钟~ 99999分钟。如果设置了帐户锁定阈值,则重置时间必须小于或等于帐户锁定时间。
点击定义此策略设置并配置之后重置账户锁定计数器的值。在下面的示例中,该值设置为30分钟。
在Active Directory中配置帐户锁定策略后,请关闭组策略管理控制台。您必须等待策略设置应用于客户端计算机。默认的组策略刷新间隔是90分钟,但是这里有一个指南修改Windows计算机的组策略刷新间隔.
在客户端计算机上,如果希望尽早更新组策略设置,请以管理员身份启动命令提示符并运行该命令gpupdate /力
.
使用PowerShell查看帐户锁定策略设置
在域控制器上,可以通过运行一个简单的PowerShell命令查看帐户锁定策略设置。这使得查找锁定策略设置很容易,而不必编辑组策略。
要使用PowerShell查看Active Directory帐户锁定策略设置,请以管理员身份启动PowerShell并运行以下命令。
Get-ADDefaultDomainPasswordPolicy| select LockoutDuration, lockouttobservationwindow, LockoutThreshold
使用RSOP检查帐户锁定策略设置
如果以前的系统管理员已为您的组织配置了帐户锁定策略,则可以通过在计算机上检查策略的结果集来查找帐户锁定策略设置。
策略的结果集工具允许您发现应用到本地和远程计算机的策略设置。登录客户端计算机并运行该命令rsop.msc
.
在策略的结果集控制台中,转到电脑配置>窗口设置>安全设置>账户的政策>帐户锁定策略.在右侧窗格中可以看到设置后的“帐户锁定时长”、“阈值”和“重置帐户锁定计数器”。
配置Active Directory帐户锁定策略的最佳实践
当要求您在组织的Active Directory中配置帐户锁定策略时,必须非常小心地进行。理想情况下,每个策略的值应该定义为在安全性和便利性之间取得很好的平衡。以下是你可以遵循的价值观:
- 帐户锁定阈值设置为20。
- 帐户锁定时间设置为15分钟。
- 密码策略要求所有用户至少有8个字符。
- 在值设置为30分钟后重置帐户锁定计数器。
测试用户的帐户锁定策略
成功应用帐户锁定策略之后,就该测试该策略在您的组织中是否有效了。如果GPO应用于整个域,选择一台客户端计算机并尝试输入错误的密码几次,直到帐户被锁定。
当帐户被锁定时,您将看到以下消息:引用的帐户当前被锁定,可能无法登录.这确认您应用的Active Directory帐户锁定策略正在工作。
要解锁用户帐户,可以使用Active Directory用户和计算机控制台或PowerShell命令。开放活动目录用户和计算机.右键单击需要解锁的用户并选择属性从上下文菜单。在属性窗口,单击账户选项卡。选择解锁帐户复选框并保存更改。