使用者帳戶原則設定

在實作 Windows帳戶安全性時, 使用者帳戶原則是非常關鍵的一環, 尤其是在管理密碼、帳戶鎖定、Kerberos驗證等安全設定方面, 這些設定可以透過兩種主要方式實作:

本機安全性原則帳戶設定(Local Security Policy):

指在單一電腦(不論是否加入網域)上, 透過本機安全性原則(secpol.msc)工具設定的帳戶安全性規則

。適用範圍: 僅適用於該台本機電腦, 常見於工作群組環境或非受管理的電腦

。設定方式: 開啟執行輸入 secpol.msc, 前往帳戶原則會三個子項目: 密碼原則、帳戶鎖定原則、Kerberos原則

。常見設定: 密碼長度最小值、密碼到期天數、登入失敗次數鎖定帳戶、鎖定期間設定

。優點: 簡單直接操作, 不依賴網域結構

。缺點: 不適合大規模管理、設定無法自動套用至多台電腦

w-studio.idv.tw

群組原則帳戶設定(Group Policy Account Settings):

在網域環境中, 透過群組原則物件(GPO)設定帳戶安全性, 並將設定套用至網域中指定的使用者或電腦

。適用範圍: 適用於整個網域或特定組織單位內的使用者/電腦, 適合集中管理和一致性安全政策的實施

。設定方式: 在群組原則管理主控台中建立或編輯 GPO

。特殊情況: 網域中只能有一個有效的密碼與帳戶鎖定原則, 通常套用在預設網域原則(Default Domain Policy), 若要針對不同群組指定不同密碼政策, 需使用 Fine-Grained Password Policy(精緻密碼原則), 不能透過 GPO直接達成

。優點: 集中管理, 統一原則, 可套用於多電腦、多使用者

。缺點: 設定需理解 LSDOU繼承順序與 GPO優先順序, 密碼原則在網域中僅能透過一組 GPO生效

w-studio.idv.tw