今天有个朋友跟我聊天时提到他们公司的域用户经常会遇到被锁定的状态,而且4小时后会自动解锁,想查看AD里面是否能够统计和显示域用户登录失败次数和时间等信息。所以搭建了个小测试来解决这个问题。
声明:在启用上次交互式登录之前务必提前做好测试,否则会造成用户端无法登陆的情况,更多内容和注意事项可以参考Technet文章:”Active Directory 域服务:上次交互式登录”
https://technet.microsoft.com/zh-cn/library/dd446680%28v=WS.10%29.aspx
在配置上次交互式登录时,请注意以下事项:
a. 要使上次交互式登录正确运行,必须将域功能级别设置为 Windows Server 2008。否则,用户将无法登录到其计算机且会收到以下消息:
“此计算机上的安全策略未设置为显示有关上次交互式登录的信息。Windows 无法检索此信息。请与您的网络管理员联系,以获得帮助。”
b. 如果您在 Windows Server 2008 和 Windows Vista 加入域的计算机上启用了上次交互式登录,且在域控制器位于其作用域之内的 GPO 中未启用此功能,用户将无法登录到系统。
c. 只有 Windows Server 2008 和 Windows Vista 计算机才向用户显示上次交互式登录信息。其他所有操作系统均忽略此功能。
d. 上次交互式登录不报告登录尝试来自哪个计算机,因为上次交互式登录信息存储在用户帐户的属性中。若要确定登录尝试来自何处,您必须查看域控制器的安全日志。
1. 实验环境
本次实验使用一台Windows Server 2012 R2(配置Active Directory域服务)和一台加域的Windows 7客户端,其中:
AD林功能级别:Windows Server 2012 R2
AD域功能级别:Windows Server 2012 R2
2. 账户策略--账号锁定策略
说到4小时后会自动解锁,这就让我想到账户策略中的账号锁定策略,在DC中运行gpmc.msc打开组策略管理器(当然也可以通过服务器管理器打开)