Windows Server 2019 域用户账户锁定策略,默认是没有定义的。需要用到账户锁定启用这个策略即可。至于为什么启用这个策略可以根据你自己的环境来决定。我启用这个策略主要是为了防止内网密码嗅探。我设置的阈值是密码错误3此就会锁定账户30分钟。如果一个用户多次被锁定就需要分析这个用户的行为了。另外我在创建用户是已经禁止了交互登录,也就是说一台电脑一个账户并且账户和电脑绑定在一起,无法在其他电脑上登录。
0x01 组策略管理
打开服务器管理器 → 工具 → 组策略管理;
0x02 编辑策略
组策略管理 → 林 → 域 → 域名 → 组策略对象 → Default Domain Policy(默认策略) → 右键编辑;
打开 Default Domain Policy 策略 → 计算机配置 → 策略 → Windows 设置 → 安全设置 → 账户策略 → 账户锁定策略;账户锁定时间默认是没有定义的,要求启用修改这个账户锁定时间、账户锁定阈值、重置账户锁定计数器的参数即可;
下图是我修改的参数账户锁定时间为30分钟(账户锁定时间)、账户锁定阈值3次(密码错误3次将会被锁定)、重置账户锁定计数器30分钟(30分钟后重置计数器);通俗来讲就是密码错误3次,账户锁定30分钟,30分钟后解锁账户;
