O Windows 8.1 bloqueia a conta após 3 tentativas inválidas, mesmo que a GP não esteja definida

Navegue suas respostas
1

Eu digitei minha senha incorretamente três vezes hoje, e minha conta ficou bloqueada na minha estação de trabalho do windows 8.1 pro. Eu chequei o Conjunto de Políticas Resultante (rsop.msc) e todas as três configurações relevantes são "Não Definidas"

  • Duração do bloqueio de conta
  • Limite de bloqueio de conta
  • Redefinir contador de bloqueio de conta após

"Limite de bloqueio de conta" padrão é "0" e "Se você definir o valor como 0, a conta nunca será bloqueada."

Obrigado

Atualização:

Eu corri gpresult / h [filename] e nenhuma política de bloqueio foi definida (confirmando todos os meus outros comentários)

    
por Novox 20.05.2015 / 20:22

2 respostas

3

O suporte a RSOP foi descontinuado. De acordo com link

"Beginning with Windows Vista SP1, Microsoft made the GPResult command the primary tool for troubleshooting Group Policy on a client."

Basicamente, para garantir que você esteja obtendo o resultado completo das políticas na máquina, é necessário usar o GPResult em vez do RSOP.

No entanto, sua conta está localizada no controlador de domínio e, portanto, a política do domínio se aplica a bloqueios. Nenhuma quantidade de ajustes, configuração ou edição de políticas mudará isso na sua estação de trabalho local. Sempre que você digitar sua senha, o domínio deverá autenticá-la e ela será contabilizada para suas tentativas. Outras coisas podem contar contra suas tentativas também, como credenciais em cache ou estar logado em outros computadores com credenciais antigas.

Esta parte não é mais relevante.

Furthermore, the location of the account is incredibly important! If the account is actually an Active Directory Domain account, your local machine policies will NOT affect your account lockout, you will have to check the group policy settings of the domain controller (e.g. run GPResult on the DC). Accounts stored on the domain don't authenticate against your computer, and the lockout is triggered on the domain controller, not your local workstation. Accounts stored locally will follow the GPResult, but only after you've rebooted the computer since the WinLogon service will have to re-initialize with the new GPO settings. (Not all GPO settings can be applied without a reboot).

    
por 20.05.2015 / 20:47
2

Para Diretiva de Grupo "Não Definido" NÃO é a mesma coisa que "NÃO DEFINIDO", FALSO ou qualquer outro significado.

Não definido significa que a política de grupo no nível que você está analisando não altera o padrão do Windows.

Você também pode precisar analisar - existe um escopo de segurança menor (local em um membro que não seja do domínio) que é definido.

  • Qual é a ação padrão do Windows quando isso não está definido.    Eu suspeito que é para bloquear, mas eu não estou encontrando um link concreto que eu possa encaminhá-lo para.

Ou você pode querer ir direto para a resposta: - Se por algum motivo você quiser ignorar essa configuração de segurança útil, defina o limite de bloqueio de conta como um número maior de erros e permita que a proteção permaneça ativada.

    
por 20.05.2015 / 20:52

Tags

IPTABLES bloquear usuário-agente Linha de comando Ansible recuperando a senha ssh do vault