Иллюстрированный самоучитель по администрированию Windows 2000/2003

Настройка политик учетных записей

Настройка политик блокировки учетных записей

Политики блокировки учетных записей контролируют, как и когда учетные записи блокируются доменом или локальной системой.

Эти политики:

  • Пороговое значение блокировки
  • Блокировка учетной записи на (Длительность блокировки учетной записи)
  • Сброс счетчика блокировки через

Пороговое значение блокировки

Политика "Пороговое значение блокировки" устанавливает количество попыток входа в систему, после которого учетная запись будет заблокирована. Если Вы решили использовать блокировку учетных записей, нужно установить в этом поле значение, предотвращающее несанкционированное проникновение, но оставляющее достаточное количество попыток пользователям, испытывающим трудности при доступе к своим учетным записям.

Основной причиной, по которой пользователи не могут получить доступ к своей учетной записи с первого раза, является то, что они забыли свой пароль. В этом случае им может понадобиться несколько попыток, чтобы войти в систему. У пользователей рабочей группы также могут быть проблемы с доступом к удаленной системе, в которой их текущий пароль не совпадает с ожидаемым удаленной системой.

Если это произойдет, несколько неправильных попыток входа могут быть записаны удаленной системой до того, как пользователь получит возможность ввести верный пароль. Причиной является то, что Windows 2000 может попытаться автоматически войти на удаленную систему. В доменном окружении этого не произойдет, благодаря функции "Один вход".

Вы можете установить для порога блокировки любое значение от 0 до 999. Значение порога блокировки по умолчанию установлено равным 0, это значит, что учетная запись не будет блокироваться из-за неправильных попыток входа. Любое другое значение устанавливает определенный порог блокировки. Помните, что чем выше значение порога блокировки, тем выше риск, что хакер сможет получить доступ к вашей системе. Приемлемые значения для этого порога находятся между 7 и 15. Это достаточно много, чтобы исключить ошибку пользователя и достаточно мало, чтобы отпугнуть хакеров.

Длительность блокировки учетной записи

При превышении порога блокировки, политика "Блокировка учетной записи" устанавливает ее длительность. Вы можете установить соответствующее значение, используя величину от 1 до 99.999 минут, или на неограниченное время, путем установки этого параметра равным 0.

Наиболее безопасной политикой является установка неограниченного времени блокировки. В этом случае только администратор может разблокировать учетную запись. Это помешает хакерам повторить попытку получения доступа к системе и вынудит пользователей, чьи учетные записи заблокированы, прибегнуть к помощи администратора, что само по себе является хорошей идеей. Поговорив с пользователем, Вы можете выяснить, что он делает неправильно и помочь ему избежать проблем.

Совет
Если учетная запись заблокирована, обратитесь к диалоговому окну Свойства для данной учетной записи в оснастке Active Directory – Пользователи и компьютеры. Щелкните по вкладке Учетная запись и снимите флажок "Учетная запись заблокирована". Это разблокирует учетную запись
.

Сброс счетчика блокировки через

Каждый раз при неудавшейся попытке входа в систему Windows 2000 увеличивает значение порога, который отслеживает число неправильных попыток входа. Политика "Сброс счетчика блокировки через" определяет, как долго сохраняется значение порога блокировки. Счетчик порога блокировки учетной записи сбрасывается одним из двух способов. Если пользователь входит в систему успешно, счетчик порога сбрасывается. Если период ожидания для политики "Сброс счетчика блокировки через" после последней неудачной попытки входа истек, счетчик также сбрасывается.

По умолчанию, установлено сохранение порога в течение одной минуты, но Вы можете установить любое значение от 1 до 99.999 минут. Как и с Порогом блокировки учетной записи, необходимо выбрать значение, которое находится в равновесии между нуждами безопасности и нуждами пользователей. Подходящее значение находится в диапазоне от одного до двух часов. Этот период ожидания должен быть достаточно большим, чтобы заставить взломщиков ждать дольше, чем им хотелось бы, перед новой попыткой получить доступ к учетной записи.

Примечание
Неудачные попытки входа на рабочую станцию через заставку защищенную паролем не увеличивают значение порога блокировки. Также, если Вы блокируете сервер или рабочую станцию используя CTRL + ALT + Delete, неудачные попытки входа через окно Снятие блокировки компьютера не будут учитываться
.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.