域控锁定计算机和用户,AD域账户锁定时间

尊敬的客户，您好！

感谢您的回复。

一、定义：

AD中的其它系统基于AD 的ldap 认证，需要域账号进行认证，这类账号叫“服务账号”？

>>这类账号就是普通的域用户账号。

我们一般随便新建一个AD 域账号，设置账号永不过期，密码不修改，还需要其它设置？

>>一般新建一个AD域用户账号，就是指定账号名字和密码就可以了。

二、如何设置服务账号？请问您是咨询怎么创建服务账号吗？如果是的话，以管理员身份打开powerShell,运行命令：New-ADServiceAccount -Name "servicename"。如果不行话，那就运行以下的命令：

此致，

Daisy Zhou

Please remember to mark the replies as answers if they help.

If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

感谢你的回复

我的诉求是表达：

三、我们的这类账号是不是应该创建服务账号即可？且在Managed Service Account 组

不应该创建一个普通域账号(设定密码不过期，账号不过期，密码不修改)？

如果是，如果把这类账号转换成“Managed Service Account ”？是否有必要改成：“Managed Service Account ”？

四、影响：

帐户锁定阈值：账户错误次数

帐户锁定时间：账户锁定时间

重置账户锁定计数器：

和AD集成的系统的对接认证的账号，有什么影响？

>>请问您是咨询这个账号锁定策略对AD域账号有什么影响吗？如果是的话，因为默认的域策略上(Default Domain Policy)配置的账号锁定策略是计算机策略，那么这些策略是应用给加域的计算机对象的，当这些计算机连接到域的网络的时候，如果有用户(域用户或者本地用户)登录到这些计算机，计算机就会应用这些账号锁定策略。

主要是前面配置的ldap 连接账号，是普通域账号，如果有人知道这个账号，在PC端或者应用端反复试这个账号的密码，就会因为前面的锁定策略，会锁定账号，带来业务系统不可用风险？

示例一：

业务系统和AD认证，首先需要该系统通过一个域账号和AD 通过ldap协议对接起来，普通用户通过域账号登录该因为系统

示例二：业务系统和AD的laap协议认证，且同步AD 域账号的相关属性