Я пытаюсь изменить порог блокировки учетных записей для всех пользователей в нашем домене. Порог должен быть равен трем, но есть пользователи, которые блокируются после одного неверно введенного пароля, а другие могут попробовать шесть или семь раз, прежде чем будут заблокированы.
У нас Windows Server 2008 R2, и все пользователи находятся в одном домене. В управлении групповой политикой я попытался следовать по пути групповой политики [GPO] \ Computer Configuration \ Windows Settings \ Security Settings \ Account Policies \ Password Policy, но ни один из моих GPO (существующих или вновь созданных) не имеет параметра политик учетных записей в настройках безопасности. Я расширил все пути, ища его, и мне не повезло. Я также попытался сделать это из диспетчера сервера с тем же результатом.
Я пробовал MMC.exe, и созданные в нем объекты групповой политики имеют правильный путь, но созданные здесь объекты групповой политики, похоже, связаны только с компьютерами, а не с доменом в целом. Я установил один на локальном компьютере (сервере), и, похоже, он затронул некоторых пользователей, но не затронул других.
Я подозреваю, что возможной причиной (или участником) проблемы может быть отсутствие файла SYSVOL для объекта групповой политики блокировки учетной записи. Это объект групповой политики, который существовал до того, как я начал здесь работать, и был отключен кем-то, кто пытался исправить проблемы с блокировкой. Я не уверен, когда, почему и кем был удален / перемещен файл SYSVOL. Поскольку файл SYSVOL отсутствует, я просто получаю сообщение об ошибке о том, что компьютер не может найти указанный путь и у меня может не быть разрешений при попытке просмотреть этот объект групповой политики.
Я искал в Интернете, что мне делать в этой ситуации, но пока не нашел ничего полезного. Буду признателен за любые решения или советы, так как я новичок в этом, и у меня быстро заканчиваются идеи.
Это могло произойти из-за проблемы с вашим FGPP по умолчанию.
Читать Эта статья.
Вы можете увидеть, что FGPP применяет к конкретному пользователю, проверив его msDS-ResultantPSO.
Вы можете использовать Powershell так:
Get-ADUser -LDAPFilter '(&(objectCategory=person)(objectClass=user)(SamAccountName=JohnG))' -Properties msDS-ResultantPSO
Вы можете исправить это, добавив пользователя (или группу, к которой он принадлежит) в соответствующий PSO (как показано в связанной статье выше).
Кроме того, применение локального GPO, как правило, не является хорошей идеей.
У вас должна быть политика, применяемая к вашим DC.