Bloqueo de count local mediante la directiva de grupo

¿Es posible establecer un umbral de locking de count mediante directiva de grupo, pero sólo se aplican a las counts locales en las estaciones de trabajo de los miembros y no a los inicios de session de dominio?

Sí, esto es posible.

La directiva de locking de count para usuarios de dominio se define mediante la configuration en la directiva de dominio pnetworkingeterminado o en el object de directiva de controlleres de dominio pnetworkingeterminado. La documentation no está clara (ver aquí y comparar con aquí ) en cuanto a cuál de estos contiene la configuration de usuario de dominio de forma pnetworkingeterminada y no describe cómo la configuration de las counts de usuario se encuentran en configuraciones no pnetworkingeterminadas. Puede depender de la versión de Windows Server. En cualquier caso, podemos evitar fácilmente dependiendo del comportamiento exacto.

Las estaciones de trabajo de miembros ya deben estar ubicadas en una o varias OUs. Si crea un object de directiva de grupo y lo aplica a esas OUs, la configuration de Política de locking de count de ese GPO tendrá prioridad sobre la configuration del object de directiva de dominio pnetworkingeterminado (si existe). El object de directiva de controlleres de dominio pnetworkingeterminado sólo se aplica a la unidad organizadora de controlleres de dominio para que no afecten a los serveres miembro en ningún caso.

Siempre que no aplique el GPO a la raíz del dominio, a la unidad organizativa de controlleres de dominio oa nivel de sitio, definitivamente no afectará a las counts de usuario de dominio, incluso si esas counts se están registrando en los serveres en cuestión. (Debería ser posible aplicar el GPO en la raíz del dominio y hacer que funcione, pero los detalles son un poco complicados, así que no recomiendo probarlo).

No tengo ahora dominio para probar, pero creo que si aplica la configuration localmente (por ejemplo a través de secpol.msc) cambiará esto sólo a esa máquina. Por supuesto, si no es controller de dominio.

Puede cambiar el umbral de locking de count local mediante la directiva de grupo empujando el script de inicio con el command "NET ACCOUNTS / LOCKOUTDURATION: XX" (donde XX es en minutos), pero sólo tendría efecto a corto ploop. Cuando el equipo local se une a un dominio, está obteniendo una política de security de la política del dominio o de la directiva de cualquier unidad organizativa de la que es miembro.

Cuando se modifica la configuration de security en su equipo local mediante la directiva de security local (que command NET ACCOUNTS hace), a continuación, está modificando directamente la configuration en su equipo. Por lo tanto, los ajustes surten efecto inmediatamente, pero esto sólo puede ser temporal. La configuration permanecerá en vigor en su equipo local hasta la próxima actualización de la configuration de security de Política de grupo de dominio cuando la configuration de security que se recibe de Directiva de grupo anulará su configuration local donde haya conflictos. La configuration de security se actualiza cada 90 minutos en una estación de trabajo o server y cada 5 minutos en un controller de dominio. La configuration también se actualiza cada 16 horas, independientemente de que haya o no cambios

http://technet.microsoft.com/en-us/library/cc739442%28v=ws.10%29.aspx