Есть ли параметр ADUC, который может предотвратить блокировку определенных учетных записей пользователей, особенно после x неудачных попыток входа в систему? Да, и наш DC сейчас находится на Server 2003, но мы также используем DC Server 2008 в других средах.
Вы можете это сделать, но вам все равно понадобится GPO. Создайте объект групповой политики с необходимыми настройками, затем удалите «применить групповую политику» прямо из ACL. Создайте группу, которую вы хотите исключить из блокировки паролей, добавьте своих пользователей в группу и назначьте этой группе право «применять групповую политику» для вашего GPO.
Помните, что объекты групповой политики применяются в следующем порядке:
Локальное подразделение домена сайта
поэтому убедитесь, что вы применили новый объект групповой политики на правильном уровне, чтобы он не был задет чем-то ниже него.
Я не могу не задаться вопросом, почему вы просто не разрешаете пустые пароли для этих учетных записей. Это достаточно близко к тому же (отсутствию) уровню безопасности, что и разрешению неограниченных попыток. В качестве альтернативы вы можете либо применить отдельный объект групповой политики к тем учетным записям, которые допускают максимальное количество попыток ввода пароля (каким бы оно ни было), либо просто установить как можно более короткий период времени блокировки, чтобы учетная запись разблокировалась достаточно быстро, чтобы они этого не делали. действительно заметили.
Конечно, идеальным решением было бы заставить этих людей запомнить свои пароли, но я предполагаю, что это руководители высшего звена.
Предпочтительным подходом было бы отказаться от ваших контроллеров домена Windows Server 2003 и настроить свой домен на функциональный уровень Windows 2008, вы сможете воспользоваться одной из новых функций Windows Server 2008: несколькими политиками блокировки паролей и учетных записей.
Пошаговое руководство по детальной политике паролей и блокировки учетных записей AD DS
http://technet.microsoft.com/en-us/library/cc770842%28v=ws.10%29.aspx
Как повысить функциональные уровни домена и леса Active Directory
http://support.microsoft.com/kb/322692
Вы должны спросить об этом на serverfault.com, хотя быстрый ответ http://technet.microsoft.com/en-us/library/cc781491(WS.10).aspx