Можно ли установить порог блокировки учетной записи с помощью групповой политики, но применять ли он только к локальным учетным записям на рабочих станциях участников, а не к входам в домен?
У меня сейчас нет домена для тестирования, но я думаю, что если вы примените настройку локально (например, через secpol.msc), вы измените ее только на этой машине. Конечно, если это не контроллер домена.
Да, это возможно.
Политика блокировки учетных записей для пользователей домена определяется параметрами в политике домена по умолчанию или в объекте политики контроллеров домена по умолчанию. Документация неясна (см. Вот и сравнить с Вот) относительно того, какие из них содержат настройки пользователя домена по умолчанию, и не описывает, как настройки для учетных записей пользователей расположены в нестандартных конфигурациях. Это может зависеть от версии Windows Server. В любом случае, мы можем легко избежать зависимости от точного поведения.
Рабочие станции ваших участников уже должны быть расположены в одном или нескольких подразделениях. Если вы создаете объект групповой политики и применяете его к этим подразделениям, параметры политики блокировки учетных записей в этом объекте групповой политики будут иметь приоритет над параметрами в объекте политики домена по умолчанию (если есть). Объект политики контроллеров домена по умолчанию применяется только к подразделению контроллеров домена, поэтому они ни в коем случае не повлияют на рядовые серверы.
При условии, что вы не применяете свой объект групповой политики к корню домена, подразделению контроллеров домена или на уровне сайта, он определенно не повлияет на учетные записи пользователей домена, даже если эти учетные записи выполняют вход на указанные серверы. (Должна быть возможность применить GPO в корне домена и заставить его работать, но детали немного сложны, поэтому я не рекомендую пробовать его.)
Вы можете изменить локальный порог блокировки учетной записи с помощью групповой политики, запустив сценарий запуска с помощью команды «NET ACCOUNTS / LOCKOUTDURATION: XX» (где XX - в минутах), но это будет иметь только краткосрочный эффект. Когда локальный компьютер присоединяется к домену, он получает политику безопасности из политики домена или из политики любого подразделения, членом которого он является.
Когда вы изменяете параметры безопасности на своем локальном компьютере с помощью локальной политики безопасности (которую выполняет команда NET ACCOUNTS), вы непосредственно изменяете параметры на своем компьютере. Таким образом, настройки вступают в силу немедленно, но это может быть только временным. Эти параметры фактически будут действовать на вашем локальном компьютере до следующего обновления параметров безопасности групповой политики домена, когда параметры безопасности, полученные из групповой политики, переопределят ваши локальные параметры при возникновении конфликтов. Параметры безопасности обновляются каждые 90 минут на рабочей станции или сервере и каждые 5 минут на контроллере домена. Настройки также обновляются каждые 16 часов, независимо от того, есть ли какие-либо изменения.
http://technet.microsoft.com/en-us/library/cc739442%28v=ws.10%29.aspx