AD<帳戶鎖定原則>問題?

ad active directory windows server windows server 2016 windows server 2019

a54sports 2022-12-15 15:12:30 ‧ 3770 瀏覽

請問先進們：
GPO設定<帳戶鎖定原則>如下：
重設帳戶鎖定計數器的時間間隔：30分鐘
帳戶鎖定時間：30分鐘
帳戶鎖定閥值：5次不正確的登入嘗試

發現奇怪的問題，請問這樣是對嗎?還是哪裡設定錯誤? 謝謝
1、開機電腦登入，密碼錯誤五次>鎖住>30鐘後，自動解開
2、從Webmail登入，密碼錯誤五次>鎖住>30鐘後，不會自動解開>需人工解開
3、手機PushMail，密碼錯誤五次>鎖住>30鐘後，不會自動解開>需人工解開

hsiang11 iT邦好手 1 級 ‧ 2022-12-15 15:19:17 檢舉

你確定webmail的帳號支援AD登入嗎? 還是登入的只是一般的mail帳號

a54sports iT邦新手 3 級 ‧ 2022-12-15 17:58:32 檢舉

Mail Server is Exchange Server 2016,登入的格式> 域名\帳號或 Email

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

雷峰

iT邦研究生 1 級 ‧ 2022-12-15 16:04:34

依照設定這個正常=>>1、開機電腦登入，密碼錯誤五次>鎖住>30鐘後，自動解開

下面兩的都關係到MailServer認證是不是吃LDAP：
2、從Webmail登入，密碼錯誤五次>鎖住>30鐘後，不會自動解開>需人工解開
3、手機PushMail，密碼錯誤五次>鎖住>30鐘後，不會自動解開>需人工解開

※留意！現在很多MailServer都支援防密碼暴力破解(Fail2Ban)，這個就跟GPO無關囉！

a54sports iT邦新手 3 級 ‧ 2022-12-15 18:01:37 檢舉

請問先進，這要如何跟主管解釋?(一般以為鎖30分鐘後會自動解鎖)
另外，有什麼機制可以自動解鎖?(非上班時間怎麼辦)

misadm iT邦高手 10 級 ‧ 2022-12-16 09:24:03 檢舉

首先我會考慮為何 User 會常常打錯密碼，再來決定允許打錯的次數。由於無法分辨是 User 個人行為，還是有人蓄意在猜密碼；當帳號被鎖定之後，我不會設 30 分這麼短的容錯值，至少就是 1 小時起跳。

同樣如前述，無法分辨蓄意或無意，一律人工解鎖，銀行提款卡被鎖您也只能臨櫃辦理。

雷峰 iT邦研究生 1 級 ‧ 2022-12-16 14:56:34 檢舉

幫忙先詢問Mail Server廠商，有沒有設定這個
=>>防密碼暴力破解(Fail2Ban)

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22195 篇

完賽人數

600 人

IT邦幫忙