设置域帐号登陆次数后自动锁定完则,有大量AD域帐号自动被锁定。在2003域安全策略中,设置登陆3次密码错误后,自动锁定帐号;在登封3次后,帐号可以自动锁定。但是有大批帐号没有登陆错误情况下自动锁定,而且手动解锁后,又自动锁定。最后只能取消策略。请问地什么原因造成这问题十分紧逼,请给予帮助。
回答:根据您的描述,我对这个问题的理解是在您的Domain Users中出现了锁定的情况.从您反应的情况看,有很多的用户在设置完3次密码错误就锁定的情况,我们可以考虑从下面的几个情况分析:
1. 有很多的应用程序,可能会利用用户的credential进行验证,在您更改完毕密码后没有及时更新这些program可能就会出现问题。
2. 服务账户,由于Windows自带的服务可能需要用这些用户的密码进行验证,那么密码没有及时更新也会出现这个问题
3. 密码锁定阀值太短,根据微软官方建议,您可以考虑把密码锁定的阀值设置为10此无效登录锁定 您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1
4. 如果一个用户登录到多个计算机时,也可能出现这个情况。
5. Scheduled Task中保存的用户credential存在问题
6. 在map drive时用了用户的账户,同时启用了 persistent 参数
7. AD 复制时数据库不一致的情况
鉴于这些情况,我们有下面的问题:
1. 您是修改的哪一个GPO,是default Domain policy 还是Default Domain Controller Policy?
2. 您域内有几台DC?
3. 这些同时账户时在同时锁定的么?这些账户没有没有什么特定,是在同一个OU 或者是?有没有其他的一些隐藏问题,可以供我们参考的。
我们建议:修改默认的锁定阀值为10次无效登录,看是否还是有这个问题。
张方方微软全球技术支持中心