Active Directory 帳戶鎖定政策 |贏服務器2025

Active Directory 帳戶鎖定策略在用戶帳戶安全中起著至關重要的作用。

如您所知，當今有不同類型的攻擊阻礙了企業生產力。

考慮 Active Directory 環境中的密碼和帳戶鎖定策略非常重要。

通過正確配置密碼和帳戶鎖定策略，您可以防止未經授權的用戶登錄您的網​​絡。

因此，在本文中，我們將學習如何在 Windows Server 2025 上運行的 Active Directory 中設置帳戶鎖定策略

什麼是帳戶鎖定政策？

這是所有版本的 Windows 服務器上都可用的重要策略，它決定何時鎖定帳戶以及鎖定帳戶的時間。

每當策略確定對帳戶進行未經授權的訪問時。

它可能會在管理員定義的時間內鎖定帳戶。

但它可以防止密碼猜測、暴力攻擊等。

此策略可以通過組策略實施，以應用於組織中的特定 OU 或整個域。

更多閱讀：了解 Windows 10/8/7 中的帳戶鎖定策略

每個管理員都必須配置此帳戶鎖定策略以保護其用戶帳戶的安全。

如何設置帳戶鎖定策略

最好將該策略實施為默認域策略以應用於整個域。

配置帳戶鎖定策略 打開服務器管理器

轉到工具並單擊組策略管理。

因此，一旦組策略管理開放，就可以擴展森林,域名，和你的域名

在您的域名下，您將看到默認域策略

只需右鍵單擊該策略並單擊編輯。

單擊編輯按鈕後。

組策略管理編輯器將獲得開放

現在在計算機配置下展開策略 – Windows 設置 – 安全設置

在安全設置下，您將看到賬戶政策

因此，您將在其中看到三個策略賬戶政策

密碼策略 – 帳戶鎖定策略和 Kerberos 策略

在帳戶鎖定策略中，我們在 Windows Server 2025 中有四個設置

• 賬戶鎖定時長
• 賬戶鎖定閾值
• 允許管理員帳戶鎖定
• 之後重置賬戶鎖定計數器
• 我們主要使用三個主要設置

賬戶鎖定時間：在自動解鎖之前，帳戶將被鎖定幾分鐘。 （默認情況下沒有定義）

您可以將其設置為15分鐘如下圖所示

賬戶鎖定閾值：這定義了在帳戶被鎖定之前允許嘗試登錄失敗的次數。

您可以選擇值 5 作為默認值，它也是 5。

允許管理員帳戶鎖定：確保啟用此功能。 （默認情況下已啟用）

在以下時間後重置帳戶鎖定計數器：這將在鎖定期限過後重置鎖定的帳戶。

將此設置保留為15分鐘。 （默認為10分鐘）

更新組策略

完成上述所有步驟後。

通過運行 gpupdate /force 命令更新服務器和客戶端計算機上的組策略設置。

現在，如果您嘗試通過鍵入無效密碼來測試任何 Active Directory 用戶帳戶。

因此，用戶帳戶將被鎖定。

在我們的例子中，我們嘗試輸入 5 個無效密碼，現在用戶被鎖定並給出如下圖所示的消息。

現在我們的用戶被鎖定了。

因此，這意味著我們的 Active Directory 帳戶鎖定策略運行得很好。

如何解鎖 Active Directory 中的用戶帳戶

現在，用戶 Jack 已被帳戶鎖定策略鎖定。

這裡我們是故意這樣做的，所以要解鎖用戶

前往Active Directory 用戶和計算機，轉到鎖定的用戶，然後右鍵單擊用戶，然後單擊特性

現在轉到帳戶選項卡您將看到用戶被鎖定，以及一條鎖定消息

要解鎖用戶，您只需選中該框並單擊應用即可。

完成此操作後，用戶將被解鎖並可以使用正確的密碼再次登錄。

結論

每當使用 Active Directory 時，請確保遵循最佳實踐來配置密碼和帳戶鎖定策略，以防止用戶暴力攻擊、密碼猜測等

因此，這對於用戶的安全目的非常有利，並且可以防止很多損害。

最後，我們學習瞭如何配置帳戶鎖定策略，以及如何在用戶帳戶被鎖定時解鎖。

如果有任何與本文相關的問題，請隨時聯繫。

但是，您可能還喜歡 Active Directory 上的其他一些帖子

此外，如果您想查看在 Active Directory 環境中設置密碼策略和帳戶鎖定策略的分步指南。觀看下面的視頻。