Почему в графическом интерфейсе пользователя контроллера домена только для чтения (RODC) нельзя увидеть, что учетная запись пользователя блокирована из-за слишком большого числа попыток регистрации с неправильным паролем?

17.09.2008 Джон Сэвилл

RODC блокирует доступ к учетной записи пользователя после заданного числа неудачных попыток регистрации, чтобы предотвратить взлом учетных записей при потере связи между RODC и контроллером домена с функциями чтения-записи

В. Почему в графическом интерфейсе пользователя контроллера домена только для чтения (RODC) нельзя увидеть, что учетная запись пользователя блокирована из-за слишком большого числа попыток регистрации с неправильным паролем?

О. . Обычно контроллеры домена с функциями чтения-записи обновляют многочисленные атрибуты с состоянием блокировки. Однако в RODC обновляют только атрибут lockoutTime учетной записи пользователя, который отражает время, в течение которого учетная запись была блокирована. Атрибут lockoutTime хранится в формате NT System Time, который можно преобразовать к нормальному значению времени командой w32tm /ntte .

RODC проверяет атрибут lockoutTime перед попыткой регистрации. Если текущее время без значения lockoutTime меньше продолжительности блокировки, заданной в политике безопасности, то RODC запрещает регистрацию пользователя.

Инструменты с графическим интерфейсом обращаются к атрибуту UserAccountControl, а не к атрибуту lockoutTime, чтобы определить, блокирована ли учетная запись. Поэтому инструменты с графическим интерфейсом не отображают блокированное состояние учетной записи.

Чтобы разблокировать учетную запись, необходимо восстановить связь с контроллером домена с функциями чтения-записи. Этот DC реплицирует значение 0 атрибута lockoutTime в RODC и разблокирует учетную запись.