帐户锁定策略用于域帐户或本地用户帐户，它们确定某个帐户被系统锁定的情况和时间长短。这部分包含以下三个方面：

    帐户锁定时间
    帐户锁定阈值
    复位帐户锁定计数器

    1. 帐户锁定时间

    该安全设置确定锁定的帐户在自动解锁前保持锁定状态的分钟数。有效范围从0到99,999分钟。如果将帐户锁定时间设置为0，那么在管理员明确将其解锁前，该帐户将被锁定。如果定义了帐户锁定阈值，则帐户锁定时间必须大于或等于重置时间。

    默认值：无。因为只有当指定了帐户锁定阈值时，该策略设置才有意义。

    2. 帐户锁定阈值

    该安全设置确定造成用户帐户被锁定的登录失败尝试的次数。无法使用锁定的帐户，除非管理员进行了重新设置或该帐户的锁定时间已过期。登录尝试失败的范围可设置为0至999之间。如果将此值设为0，则将无法锁定帐户。

    对于使用Ctrl+Alt+Delete组合键或带有密码保护的屏幕保护程序锁定的工作站或成员服务器计算机上，失败的密码尝试计入失败的登录尝试次数中。默认值：0。

    3.复位帐户锁定计数器

    该安全设置确定在登录尝试失败计数器被复位为0（即0次失败登录尝试）之前，尝试登录失败之后所需的分钟数。有效范围为1到99,999分钟之间。
    如果定义了帐户锁定阈值，则该复位时间必须小于或等于帐户锁定时间。
    默认值：无，因为只有当指定了“帐户锁定阈值”时，该策略设置才有意义。
    它们的配置也要因当前用户所在的网络环境而定。对于本地计算机用户帐户，在如图1所示界面中配置；对于域中的成员服务器或工作站则在如图8所示对话框中配置；而对于域控制器用户则在如图11所示界面中配置。

    配置方法也是通过双击，或单击选择某帐户锁定策略选项，然后再单击右键，选择“属性”选项，都可打开类似如图所示对话框，在其中进行配置即可。

    Kerberos V5身份验证协议是用于确认用户或主机身份的身份验证机制，也是Windows 2000和Windows Server 2003系统默认的身份验证服务。Internet协议安全性（IPSec）可以使用Kerberos协议进行身份验证。

    对于在安装过程中所有加入到Windows Server 2003或Windows 2000域的计算机都默认启用Kerberos V5身份验证协议。Kerberos可对域内的资源和驻留在受信任的域中的资源提供单一登录。
    可通过那些作为帐户策略一部分的Kerberos安全设置来控制Kerberos配置的某些方面。例如，可设置用户的Kerberos 5票证生存周期。作为管理员，可以使用默认的kerberos策略，也可以更改它以适应环境的需要。使用Kerberos V5进行成功的身份验证需要两个客户端系统都必须运行Windows 2000、Windows Server 2003家族或Windows XP Professional操作系统。

    如果客户端系统尝试向运行其他操作系统的服务器进行身份验证，则使用NTLM协议作为身份验证机制。NTLM身份验证协议是用来处理两台计算机（其中至少有一台计算机运行Windows NT 4.0或更早版本）之间事务的协议。

    使用Kerberos进行身份验证的计算机必须使其时间设置在5分钟内与常规时间服务同步，否则身份验证将失败。运行Windows Server 2003家族成员、Windows XP Professional或Windows 2000的计算机将自动更新当前时间，并将域控制器用作网络时间服务。

    Kerberos策略用于域用户帐户，确定与Kerberos相关的设置，例如票证的有效期限和强制执行。   
    Kerberos策略不存在于本地计算机策略中。这部分包含以下几个方面：
    强制用户登录限制
    服务票证最长寿命
    用户票证最长寿命
    用户票证续订最长寿命
    计算机时钟同步的最大容差

    1. 强制用户登录限制
    本安全设置确定Kerberos V5密钥分发中心（KDC）是否要根据用户帐户的用户权限来验证每一个会话票证请求。验证每一个会话票证请求是可选的，因为额外的步骤需要花费时间，并可能降低服务的网络访问速度。默认值：已启用。

    2. 服务票证最长寿命
    该安全设置确定使用所授予的会话票证可访问特定服务的最长时间（以分钟为单位）。该设置必须大于10分钟并且小于或等于下面将要介绍的“用户票证最长寿命”选项中的设置。
    【说明】票证是用于安全原则的标识数据集，是为了进行用户身份验证而由域控制器发行的。
    Windows中的两种票证形式是票证授予式票证（TGT）和服务票证。
    票证授予式票证（TGT）是用户登录时，Kerberos密钥分发中心（KDC）颁发给用户的凭据。当服务要求会话票证时，用户必须向KDC递交TGT。因为TGT对于用户的登录会话活动通常是有效的，它有时称为“用户票证”。

    服务票证是由允许用户验证域中指定服务的KerberosV5票证授予服务（TGS）颁发的票证。如果客户端请求服务器连接时出示的会话票证已过期，服务器将返回错误消息。客户端必须从Kerberos V5密钥分发中心（KDC）请求新的会话票证。然而一旦连接通过了身份验证，该会话票证是否仍然有效就无关紧要了。会话票证仅用于验证和服务器的新建连接。如果用于验证连接的会话票证在连接时过期，则当前的操作不会中断。默认值：600分钟（10小时）。

文章页数:[1] [2]