nossa política de conta está definida para bloquear usuários após 10 tentativas de login com falha. Temos um servidor de autenticação proxy que é membro do AD, obtém solicitações de autenticação do navegador e as retransmite para o DC. Alguns usuários têm credenciais antigas / incorretas salvas em algum lugar (software de terceiros) para serem bloqueadas diariamente.
É possível configurar o GPO (sem usar o WMI) para excluir esse servidor de autenticação da política de bloqueio ou definir o limite de bloqueio para informar 1000 tentativas com falha?
Eu não acredito que isso seja possível com os métodos nativos de bloqueio do AD.
O Server 2008 estreou as Políticas de senha refinadas, que são uma grande melhoria em relação ao que havia em 2000 e 2003, mas essas políticas se aplicam apenas a Usuários . Não há mecanismo para dizer, "essas políticas se aplicam somente a logins vindos dessas máquinas, mas não dessas máquinas". Todos os logins são tratados da mesma forma por essas políticas, independentemente da máquina que os inicia.