【组策略】账户锁定策略

概述：Windows 安全设置下账户锁定策略相关内容

账户锁定策略条目

打开方式：Win+R -> gpedit.msc（域控本地管理员无法修改）。如果是在域控服务器上，则需要输入 rsop.msc 来查看，如果修改请查看下一小节。

账户锁定时间

帐户锁定时间

此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数。可用范围从 0 到 99,999 分钟。如果将帐户锁定时间设置为 0，帐户将一直被锁定直到管理员明确解除对它的锁定。

如果定义了帐户锁定阈值，则帐户锁定时间必须大于或等于重置时间。

默认值: 无，因为只有在指定了帐户锁定阈值时，此策略设置才有意义。

即账户被锁定后开始，过了多长时间才能解锁

账户锁定阈值

帐户锁定阈值

此安全设置确定导致用户帐户被锁定的登录尝试失败的次数。在管理员重置锁定帐户或帐户锁定时间期满之前，无法使用该锁定帐户。可以将登录尝试失败次数设置为介于 0 和 999 之间的值。如果将值设置为 0，则永远不会锁定帐户。

在使用 Ctrl+Alt+Del 或密码保护的屏幕保护程序锁定的工作站或成员服务器上的密码尝试失败将计作登录尝试失败。

默认值: 0。

即账户在尝试登录时，失败几次后会锁定账户。

重置账户锁定计数器

在此后复位帐户锁定计数器

此安全设置确定在某次登录尝试失败之后将登录尝试失败计数器重置为 0 次错误登录尝试之前需要的时间。可用范围是 1 到 99,999 分钟。

如果定义了帐户锁定阈值，此重置时间必须小于或等于帐户锁定时间。

默认值: 无，因为只有在指定了帐户锁定阈值时，此策略设置才有意义。

即账户锁定阈值在锁定之后经过多久使账户锁定阈值清 0。

相关问题

域控服务器的策略如何设置

在域控服务器上，修改登录策略。

1. 工具 -> 组策略管理
2. 编辑默认域控
3. 组策略管理编辑器

C++ 获取锁定策略

BOOL IsAccountLockoutPolicyOpen(LPCWSTR ServerName, BOOL& bOpen)
{
	MYTRACE(L"确认账户锁定策略是否开启");
	BOOL bSuc = FALSE;
	DWORD dwLevel = 3;
	USER_MODALS_INFO_3 *pBuf = NULL;
	NET_API_STATUS nStatus = NetUserModalsGet(ServerName,
		dwLevel,
		(LPBYTE *)&pBuf);

	if (nStatus == NERR_Success)
	{
		if (pBuf != NULL)
		{
			bSuc = TRUE;
			if(pBuf->usrmod3_lockout_threshold == 0)
			{
				bOpen = FALSE;
			}
			else
			{
				bOpen = TRUE;
			}
		}
	}

	if (pBuf != NULL)
		NetApiBufferFree(pBuf);

	return bSuc;
}