今天我的一个朋友跟我聊天,提到他们公司的域名客户经常遇到被锁的情况,4个小时后就会全部打开。我想检查一下广告是否可以统计分析和显示信息域客户的不成功登录频率和时间等信息。因此,构建了一个有趣的测试来处理这个问题。
申明:开放前在交互登录前尽早做好检测工作,否则会导致本地办公无法登录的情况。有关大量内容和常见问题,请参考Technet文章:“ActiveDirectory域服务项目:之前的交互式登录”
https://technet.microsoft.com/zh-cn/library/dd446680(v=ws.10)。
在配置之前的交互登录时,必须注意以下事项:
a.要使之前的交互登录正常工作,必须将域作用域级别设置为WindowsServer2008。否则,客户将无法登录到他的计算机,并将收到以下消息:
“此计算机上的安全设置未设置为显示与上次交互式登录相关的信息。Windows找不到此信息。请联系您的网络工程师寻求帮助。
B.如果您已在添加了WindowsServer2008和WindowsVista域的计算机上启用了以前的交互式登录,并且在域控制器位于其作用域的GPO中未启用此角色,则客户将无法登录到系统软件。
C.只有WindowsServer2008和WindowsVista计算机才会在向客户显示信息之前显示交互式登录信息。所有其他的计算机 *** 作系统都忽略了这个功能。
D.之前的交互登录没有报告登录尝试来自哪台计算机,因为之前的交互登录信息存储在客户帐户的特征中。要找出登录尝试的来源,您必须检查域控制器的安全日志。
1.测试自然环境
本实验使用一个WindowsServer2012R2(配备ActiveDirectory域服务)和一个带域的Windows7手机客户端,其中:
AD林作用域:WindowsServer2012R2
AD域作用域:WindowsServer2012R2。
2.账户对策-账户锁定对策
注:这里很有可能有人会问,有没有可能把不同的电脑目标放在一个特殊的OU里,然后这个OU再针对这个事情采取登录密码对策?这里有两点是必须注意的:
a.如果OU配备了登录密码对策,最终作用的不是当前OU的域账号,而是OU中计算机目标的用户账号对策;
B.如果要根据组策略提供域客户帐户的登录密码对策,则只应在域级别提供登录密码对策(或根据粒度登录密码对策)。
A.帐户锁定时间
此安全策略指定锁定的帐户在完全自动打开之前保持锁定的分钟数。可用范围是从0到99,999分钟。如果帐户锁定时间设置为0,帐户将被锁定,直到管理员决定解除锁定。
B.帐户锁定阈值
此安全策略指定导致锁定用户帐户的不成功登录尝试的频率。在管理员重设锁定的帐户或锁定的帐户过期之前,无法应用锁定的帐户。不成功登录尝试的频率可以设置为接近0到999的值。如果值设置为0,总是很难锁定帐户。
C.重置帐号以锁定电子计数器
此安全策略指定在一次不成功的登录尝试后,将不成功的登录尝试的电子计数器重置为0次不正确的登录尝试所需的时间。可用范围是1到99,999分钟。
3.之前交互式登录
以上内容已经可以保证限制客户输入支付密码的错误频率和打开时间,但如果要对登录信息进行统计分析,还得使用“之前交互登录”。
A.前次交互登录的功能:交互登录可以帮助您记录客户登录信息的以下四个关键组成部分:
在添加域的网络服务器或服务中心登录失败的次数
在网络服务器或服务中心成功登录后登录失败的次数
在网络服务器或服务中心的网络服务器或服务中心之前登录失败的次数
。
B.以前交互登录信息的存储位置:当域运行在WindowsServer2008级别时,以前的交互登录信息存储在添加到框架的客户端目标的以下四个功能中:
MSDS-失败交互登录计数-自从在
MSDS之前开始交互登录以来,在网络服务器或服务中心上失败的登录尝试的总数-失败的交互登录计数上次成功登录-在以前的Ctrl-Alt-Del登录成功之前失败的交互登录的次数
MSDS-上次失败的交互登录时间-以前失败登录尝试的时间格式
MSDS-上次成功的交互登录
根据图中亮红色方框中的数据信息,可以分析出以下结果:
Let:X=MSDS-失败交互登录的值”[br/]Y=MSDS-失败交互登录的值countatlaststacsuccessfulLogon”[br/]如果X=Y,则表示获得了最后一次登录。
如果X-Y=N,表示近期登录失败N次;如果n正好等于账户锁定阈值,且账户锁定时间未到,该客户将无法登录,将被锁定;
以上是登录密码对策的分享以及之前的互动分析和实际使用方法。在WindowsServer2012中,粒度登录密码对策有了很大的改进,有兴趣的可以掌握。感谢您的关注和申请。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)