【组策略基本应用第3篇】账户锁定策略：防暴力破解的 3 个关键设置

系列：爱依航 · Windows Server 2022 组策略实战系列

本篇主题：账户锁定策略配置

环境：域名 iehang.cn / 域控制器 DC01

开篇：暴力破解的威胁

有人在尝试用弱密码爆破域管理员账号。查看安全日志，发现同一 IP 在几分钟内尝试了几百次登录。

账户锁定策略可以解决这个问题：连续输错几次密码，账号自动锁定。

Part 1 · 账户锁定策略在哪

打开 gpmc.msc → 右键 Default Domain Policy → 编辑

路径：

计算机配置
  └─ 策略
      └─ Windows 设置
          └─ 安全设置
              └─ 账户策略
                  └─ 账户锁定策略

Part 2 · 三个关键设置

1. 账户锁定阈值

连续输错多少次密码后锁定账号。

建议：5 次

设为 0 表示禁用锁定策略（不推荐）。

2. 账户锁定时间

锁定后，多少分钟自动解锁。

建议：30 分钟

设为 0 表示永久锁定，需要管理员手动解锁。

3. 重置账户锁定计数器的时间

输错密码后，多少分钟后计数器归零重新计算。

建议：30 分钟

比如：用户输错 3 次后停止，30 分钟后再试，计数器归零，又有 5 次机会。

Part 3 · 推荐配置

账户锁定阈值：           5 次无效登录
账户锁定时间：           30 分钟
重置账户锁定计数器：     30 分钟

Part 4 · 手动解锁账号

如果账号被锁定，管理员可以这样解锁：

1. 打开 Active Directory 用户和计算机（dsa.msc）

2. 找到被锁定的用户

3. 右键 → 属性 → 账户 → 取消勾选"解锁账户"

或用命令行：

net user zhangsan /domain /active:yes

小结

账户锁定策略是防暴力破解的有效手段。

推荐配置：

• 锁定阈值：5 次
• 锁定时间：30 分钟
• 计数器重置：30 分钟