如何更改AD密码尝试计数？

Question

运行2008年R2服务器。在用户的帐户被锁定之前，允许用户进行5次错误的登录尝试。

由于某种原因，一个用户的登录阈值为1(我已经通过使用他们的名字登录到我们的网站来验证)。

在过去的一周左右，每次他们错误输入他们的密码一次，他们来找我，我取消检查用户属性中的“帐户被锁定”。

我对AD非常陌生，我找不到任何微软文档来解释为什么一个用户的门槛与其他人的不同。

有人能向我解释一下为什么会这样吗?怎么把他们的门槛改为5呢？

Answer 1

有关您所需的AD密码策略设置的一般文档如下。

所讨论的注册表项位于：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

并且可以由组策略在：

Computer Configuration -> Windows Settings -> Security Settings -> Account Policies -> Account Lockout Policy

顺便说一句，这个客户端的值与重置值不同，这强烈地表明他不是没有接收组策略，就是没有正确处理组策略，因此您应该考虑为什么，在您的标准组策略故障排除朋友的帮助下，rsop.msc和gpresult。

Answer 2

这听起来像是组策略问题。检查应用于AD中用户帐户的所有组策略。根据我的经验，这些都是在默认域策略中设置的。其中一项政策应具有设置以下内容的内容：

计算机配置\策略\Windows设置\安全设置\帐户策略\帐户锁定策略

您可以将该值更改为5，并在客户端机器上运行gpupdate。