???????今天有個朋友跟我聊天時提到他們公司的域用戶經常會遇到被鎖定的狀態，而且4小時后會自動解鎖，想查看AD里面是否能夠統計和顯示域用戶登錄失敗次數和時間等信息。所以搭建了個小測試來解決這個問題。

聲明：在啟用上次交互式登錄之前務必提前做好測試，否則會造成用戶端無法登陸的情況，更多內容和注意事項可以參考Technet文章：”Active Directory 域服務：上次交互式登錄”
https://technet.microsoft.com/zh-cn/library/dd446680%28v=WS.10%29.aspx

在配置上次交互式登錄時，請注意以下事項：
a. 要使上次交互式登錄正確運行，必須將域功能級別設置為 Windows Server 2008。否則，用戶將無法登錄到其計算機且會收到以下消息：
“此計算機上的安全策略未設置為顯示有關上次交互式登錄的信息。Windows 無法檢索此信息。請與您的網絡管理員聯系，以獲得幫助。”
b. 如果您在 Windows Server 2008 和 Windows Vista 加入域的計算機上啟用了上次交互式登錄，且在域控制器位于其作用域之內的 GPO 中未啟用此功能，用戶將無法登錄到系統。
c. 只有 Windows Server 2008 和 Windows Vista 計算機才向用戶顯示上次交互式登錄信息。其他所有操作系統均忽略此功能。
d. 上次交互式登錄不報告登錄嘗試來自哪個計算機，因為上次交互式登錄信息存儲在用戶帳戶的屬性中。若要確定登錄嘗試來自何處，您必須查看域控制器的安全日志。?

1. 實驗環境

本次實驗使用一臺Windows Server 2012 R2（配置Active Directory域服務）和一臺加域的Windows 7客戶端，其中：
AD林功能級別：Windows Server 2012 R2
AD域功能級別：Windows Server 2012 R2

2. 賬戶策略--賬號鎖定策略

• 說到4小時后會自動解鎖，這就讓我想到賬戶策略中的賬號鎖定策略，在DC中運行gpmc.msc打開組策略管理器（當然也可以通過服務器管理器打開）

• 展開到”Default Domain Policy”, 右鍵點擊”編輯”

注：此處可能有人問能不能將不同部門的計算機對象放到特定的OU中，再對此OU做密碼策略？這里有2點一定要注意的是：
a. 如果針對OU配置密碼策略，最終生效的不是當前OU的域賬號，而是OU中的計算機對象的本地用戶策略；

b. 如果要通過組策略配置域用戶賬號的密碼策略，只能在域級別上配置密碼策略（或是通過顆粒化密碼策略進行配置）

• 定位到--計算機配置 | 策略 | Windows 設置 | 安全設置 | 賬戶鎖定策略 可以看到有“賬戶鎖定時間”、“賬戶鎖定閾值”、“重置賬戶鎖定計數器”3個選項，可以根據具體情況進行配置。

a. 帳戶鎖定時間
此安全設置確定鎖定帳戶在自動解鎖之前保持鎖定的分鐘數。可用范圍從 0 到 99,999 分鐘。如果將帳戶鎖定時間設置為 0，帳戶將一直被鎖定直到管理員明確解除對它的鎖定。
b. 帳戶鎖定閾值
此安全設置確定導致用戶帳戶被鎖定的登錄嘗試失敗的次數。在管理員重置鎖定帳戶或帳戶鎖定時間期滿之前，無法使用該鎖定帳戶。可以將登錄嘗試失敗次數設置為介于 0 和 999 之間的值。如果將值設置為 0，則永遠不會鎖定帳戶。
c. 重置帳戶鎖定計數器
此安全設置確定在某次登錄嘗試失敗之后將登錄嘗試失敗計數器重置為 0 次錯誤登錄嘗試之前需要的時間。可用范圍是 1 到 99,999 分鐘。

• 為了讓組策略立即生效，打開Windows 7客戶端命令行工具，運行“gpupdate /force”立即刷新組策略

• 注銷后重新登陸輸錯密碼超過3次后再次登陸，提示“引用的賬戶當前已鎖定，且可能無法登陸”

• 此時用戶可以等待鎖定時間（以上設置的5分鐘）到了后自動解鎖后即可登錄，管理員也可以通過ADUC馬上解鎖此賬戶，打開Active Directory用戶和計算機，找到該賬戶（Cici）右鍵屬性，勾選“解鎖賬戶”—點擊“確定”即可，此時賬戶Cici即可登陸了。

3. 上次交互式登錄

????????以上的內容已經可以做到限制用戶輸入密碼錯誤次數和解鎖時間，但是如果要統計登陸信息還得用到“上次交互式登錄”

a. 上次交互式登錄的功能上次交互式登錄可以幫助您記錄用戶登錄信息的以下四個重要組成部分：
?在加入域的服務器或工作站上失敗的登錄嘗試總數
?成功登錄到服務器或工作站之后失敗的登錄嘗試總數
?在服務器或工作站上上次登錄嘗試失敗的時間
?在服務器或工作站上上次登錄嘗試成功的時間

b. 上次交互式登錄信息的存儲位置: 當域在 Windows Server 2008 功能級別運行時，上次交互式登錄信息存儲在添加到架構的用戶對象的以下四個屬性中：
?msDS-FailedInteractiveLogonCount — 自啟用上次交互式登錄功能以來在服務器或工作站上失敗的登錄嘗試的數量
?msDS-FailedInteractiveLogonCountAtLastSuccessfulLogon — 上次 Ctrl-Alt-Del 登錄成功之前失敗的交互式登錄的總數
?msDS-LastFailedInteractiveLogonTime — 上次失敗的登錄嘗試的時間戳
?msDS-LastSuccessfulInteractiveLogonTime —在服務器或工作站上上次登錄嘗試成功的時間戳

• 打開組策略管理配置“上次交互式登錄”，定位到“計算機配置 | 策略 | 管理模板 | Windows 組件 | Windows 登錄選項 | ”默認4個選項都是未配置的狀態

• 雙擊“在用戶登錄時顯示有關以前登錄的信息”---選擇“已啟用”----點擊“確定”

• 啟用后如下圖：

• 同樣在Windows 7命令行中運行gpupdate /force立即刷新組策略，注銷后重新登陸，輸入賬戶密碼，如下圖：

• 此時將會顯示相關的登錄信息，點擊“確定”后即可進入
  ?

• 在DC上打開ADSI編輯器，右鍵”ADSI編輯器“---選擇”連接到“

• 選擇“默認命名上下文“---點擊”確定“

• 找到該用戶（Cici）右鍵選擇“屬性“

• 可在此屬性編輯器中查看到相應的屬性和值，具體屬性的解釋見以上提到的存儲位置

通過上圖紅色框中的數據可以分析出以下結論：
設: X=“msDS-FailedInteractiveLogonCount”的值
?Y=“msDS-FailedInteractiveLogonCountAtLastSuccessfulLogon”的值
若X=Y, 則說明最近一次登錄是成功的；
若X-Y=N，則說明最近已經有連續N次登陸失敗了；若N剛好等于賬戶鎖定閾值，而且賬戶鎖定時間未到的話，此用戶將無法登陸，處于鎖定狀態；

????????以上是針對密碼策略和上次登錄交互式的分析和具體用法的分享，在Windows Server 2012 中對顆粒化密碼策略有了很大的改進，有興趣的朋友可以了解了解，非常感謝大家的關注和支持。

轉載于:https://blog.51cto.com/stephen1991/1614316

總結

以上是生活随笔為你收集整理的项目案例分享二：密码策略与上次交互式登录的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。