Как отключить политику блокировки учетной записи для одного пользователя в домене Windows
Моя компания использует домен на базе Windows. В домене действует групповая политика блокировки пользователя после нескольких неудачных попыток входа в систему в течение 5 минут.
К сожалению, эта учетная запись функционирует как учетная запись службы, и когда учетная запись блокируется, основная служба (Microsoft Team Foundation Server) перестает работать в течение этих 5 минут.
По словам моего ИТ-менеджера, это технически невозможно, чтобы снять ограничение только на один учетной записи пользователя, хотя я подозреваю, что его нежелание (которое я понимаю) нарушить политику является реальной проблемой.
Не могли бы вы сказать мне, можно ли и как сделать исключение из политики учетной записи? Мне кажется маловероятным, что это технически невозможно создавать исключения из правил.
Отказ от ответственности: я знаю, что иметь учетную запись службы, которая может входить в систему, - плохая идея, но, к сожалению, я унаследовал это решение, и его изменение займет время.
Как говорит MichelZ, ваш менеджер прав, если вы находитесь в домене 2003 года. Хотя, независимо от этого, в идеале я также не хотел бы изменять свою политику для одной учетной записи. Настоящая проблема в том, что служба пытается войти в систему с неверным паролем.
Я отправляю это как ответ, потому что решение состоит в том, чтобы полностью устранить проблему и выяснить, почему служба пытается войти в систему с неправильным паролем. Если это связано с истечением срока действия пароля, его можно отсортировать в AD Users and Computers, а не путем перенастройки политики паролей:
Это стандартная практика для сервисных аккаунтов.
Настоящее решение - это «управляемая учетная запись службы», когда вы используете обычные учетные записи или даже мелкозернистые пароли и устанавливаете для нее значение «никогда не истекает». Это утечка безопасности, с управляемой учетной записью службы компьютер сам меняет пароль, а вы не нужно следить за этим. и это очень безопасно!
Вот ссылка http://technet.microsoft.com/en-us/library/dd548356.aspx
Это верно для доменов Windows ниже 2008 года. Начиная с Windows 2008, у вас могут быть разные политики.
Взгляните сюда: http://www.windowsecurity.com/articles/configuring-granular-password-settings-windows-server-2008-part-1.html
Редактировать:
Вот ссылка от Microsoft: http://technet.microsoft.com/en-us/library/cc770842(WS.10).aspx