XP用户可以在帐户锁定后解锁屏幕

Question

Server 2008 域上的 WinXP 工作站：

1. 用户锁定屏幕并离开计算机休息。
2. 用户在离开时忘记了他/她的密码。
3. 用户进行了一系列无效的登录尝试，他/她的帐户被锁定。XP 显示一个对话框，警告用户已发生锁定。
4. 用户忽略对话框并进行额外的登录尝试，突然记住了他/她的正确密码。
5. Windows XP 允许用户使用正确的密码解锁屏幕，尽管用户的帐户现在在域控制器上被锁定。
6. 用户最终致电服务台抱怨无法打印或访问网络驱动器。

我们有点震惊地发现 Windows 允许具有锁定帐户的用户解锁他们的屏幕，尽管它在每次身份验证尝试时都会访问域控制器并因此生成锁定事件。

在目前的情况下，似乎可以在任何屏幕锁定的 Windows XP 工作站上猜出无限数量的密码。这是不可取的。

有没有办法让 Windows XP 尊重帐户锁定并在帐户解锁之前拒绝访问？

Answer 1

这是设计使然，看起来很合乎逻辑。如果用户帐户在域控制器上被锁定，用户将无法再使用域帐户登录。

但是在锁定的工作站上，所有授权（因为没有尝试访问任何资源，例如文件共享，这需要新的域凭据检查）由本地安全系统执行，因为本地系统信任这些用户（已通过 AD 检查和授权） .

所以对于这个未锁定的工作站安全系统，这样的用户仍然是合法的，但是他们不能访问使用域认证的任何资源（打印机/网络驱动器），因为帐户已经被锁定。

Answer 2

在 Windows 中限制缓存凭据：

要强制工作站在解锁时咨询域控制器，请将“交互式登录：需要域控制器身份验证才能解锁工作站”的计算机配置、Windows 设置、本地策略、安全选项控制设置为启用。