Bloqueio de conta local via Diretiva de Grupo

2

É possível definir um Limite de bloqueio de conta por meio da Diretiva de Grupo, mas ele só se aplica a contas locais em estações de trabalho de membros e não a logins de domínio?

    
por mkze 04.07.2012 / 22:58

3 respostas

1

Sim, isso é possível.

A Política de bloqueio de conta para usuários do domínio é definida pelas configurações na Política de domínio padrão ou no objeto Política de controladores de domínio padrão. A documentação não está clara (consulte aqui e compare com aqui ) para qual delas contém as configurações do usuário do domínio por padrão e não descreve como as configurações de contas de usuário estão localizadas em configurações não padrão. Pode depender da versão do Windows Server. De qualquer forma, podemos evitar facilmente dependendo do comportamento exato.

As suas estações de trabalho de membros já devem estar localizadas em uma ou mais UOs. Se você criar um objeto de diretiva de grupo e aplicá-lo a essas unidades organizacionais, as configurações da Diretiva de bloqueio de conta nesse GPO terão precedência sobre as configurações no objeto Diretiva de Domínio Padrão (se houver). O objeto de Diretiva de Controladores de Domínio Padrão se aplica somente à UO de Controladores de Domínio para que eles não afetem seus servidores membros em nenhum caso.

Desde que você não aplique seu GPO à raiz do domínio, à UO de Controladores de Domínio ou ao nível do Site, isso definitivamente não afetará as contas de usuário de domínio, mesmo que essas contas estejam efetuando login nos servidores em questão. (Deve ser possível aplicar o GPO na raiz do domínio e fazê-lo funcionar, mas os detalhes são um pouco complicados, por isso não recomendo tentar.)

    
por 06.07.2012 / 01:56
1

Não tenho domínio para testar, mas acho que, se você aplicar a configuração localmente (por exemplo, via secpol.msc), você só alterará essa configuração para essa máquina. Claro que se não for o controlador de domínio.

    
por 04.07.2012 / 23:36
-1

Você pode alterar o Limite de bloqueio de conta local usando a diretiva de grupo, enviando o script de inicialização com o comando "NET ACCOUNTS / LOCKOUTDURATION: XX" (onde XX é em minutos), mas isso só teria efeito de curto prazo. Quando um computador local ingressou em um domínio, ele está obtendo uma política de segurança da política do domínio ou da política de qualquer unidade organizacional da qual seja membro.

Quando você modifica as configurações de segurança em seu computador local usando a diretiva de segurança local (o comando NET ACCOUNTS), você está modificando diretamente as configurações em seu computador. Portanto, as configurações entram em vigor imediatamente, mas isso pode ser apenas temporário. As configurações permanecerão em vigor no computador local até a próxima atualização das configurações de segurança da Diretiva de Grupo do Domínio, quando as configurações de segurança recebidas da Diretiva de Grupo substituírem suas configurações locais sempre que houver conflitos. As configurações de segurança são atualizadas a cada 90 minutos em uma estação de trabalho ou servidor e a cada 5 minutos em um controlador de domínio. As configurações também são atualizadas a cada 16 horas, independentemente de haver ou não alterações

link

    
por 05.07.2012 / 10:21