发现有人尝试域帐户密码,多次尝试造成密码保护,并使账户锁定.请教,针对密码尝试***的行为,从windows 域策略角度 如何保护?开启,账户的“密码永久有效”选项,的用途? 当设置此选项后,多次密码错误到达垡值时,账户是否会锁定?

回答:在组策略中有个策略叫Account lockout threshold(计算机设置—windows设置—安全设置—帐号锁定策略),是设定域账户的锁定策略的,您可以通过设置该策略是规定错误密码的尝试次数,默认情况下是无数次.但是但您设定了该策略,假设我们设置的次数是7,那么当用户输入密码错误次数打到7此的时候,该用户就被锁定了.

这种情况下我们还可以通过设置Reset account lockout counter after这个策略来定义当用户账户锁定多长的时间之后,该账户会被自动解锁(当然您也可以用domain admin手动解锁) 。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1

但是从实践的角度上来讲并不建议使用该策略(在我们微软内部的环境中该策略也是禁用的),因为该策略会给管理员带来很多麻烦.如果您希望增加域内的账户安全性(也是针对密码尝试性***),你可以通过设置密码复杂度来解决.

windows 2003的域环境中默认情况在要球您使用密码复杂性(最少7位, 数字 字母大小写, 符号),使用密码复杂性后即便是有恶意的***您的账户密码,我们计算了一下至少也需要42天的时间可以破解该密码.因此我们建议您使用密码复杂性策略,同时启用密码更换周期策略(默认42天),密码过期提示策略(提前14天提示您更换密码),这样就能保证您的密码的安全级别.

详细信息请查看 http://technet.microsoft.com/en-us/library/cc780271(WS.10).aspx


请注意:如果您已经使用了我上述提到的策略,就不要在用户的账户上勾选”密码永不过期”这样会导致上述策略被覆盖掉

Jason Hou 侯铮 微软全球技术支持中心

windows AD域帐号锁定组策略的相关文章请参考
大量AD域帐号自动被锁定
域账户锁定
活动目录账户不断锁定
windows AD域帐号锁定组策略
AD域帐号被锁问题排查
如何批量解锁AD域帐户
---gnaw0725