Я могу препятствовать тому, чтобы учетная запись Active Directory блокировала?
"Я хотел бы упаковать свое приложение базы данных в форме, которая позволит клиенту использовать его, но без него когда-либо быть способным для доступа к фактическим данным, хранившим в нем. Я думаю, шифруя базу данных, должен помочь".
ответ является alwasy то же: то, что Вы просите, называют управлением цифровыми правами, и SQL Server не поддерживает DRM. Этот ответ применяется, обращаетесь ли Вы к данным к дизайну схемы или к логике хранимых процедур. Посмотрите, Кому нужно шифрование? для более детального обсуждения.
Можно сделать это, но Вам все еще нужен GPO. Создайте GPO, который имеет необходимые настройки, затем устраните, "применяют групповую политику" прямо от ACL. Создайте группу, которую Вы хотите устранить из локаутов пароля, добавьте своего пользователя (пользователей) к группе и присвойтесь, та группа "применяют групповую политику" прямо для Вашего GPO.
Помните, что GPOS применяется в следующем порядке:
Локальный домен сайта OU
так обязательно примените Ваш новый GPO на корректном уровне, таким образом, он не затоптался на чем-то ниже его.
Предпочтительный подход должен был бы отъехать Вашего DC Windows Server 2003 и настроить Ваш домен для функционального уровня Windows 2008, Вы сможете использовать в своих интересах одну из новых возможностей Windows Server 2008: несколько пароль и политики локаута учетной записи.
AD DS мелкомодульное пошаговое руководство политики локаута пароля и учетной записи
http://technet.microsoft.com/en-us/library/cc770842%28v=ws.10%29.aspx
Как повысить домен Active Directory и лесные функциональные уровни
http://support.microsoft.com/kb/322692
Я не могу не задаться вопросом, почему Вы просто не позволяете пустые пароли для тех учетных записей. Это - около достаточно того же (отсутствие a) уровень безопасности как разрешение неограниченных попыток. С другой стороны, можно или применить отдельный GPO к тем учетным записям, который позволяет максимальное количество попыток пароля (независимо от того, что то число могло бы быть), или просто установите максимально короткий период времени локаута так, чтобы учетная запись разблокировала достаточно быстро, что они действительно не замечают.
Конечно, идеальное решение должно было бы заставить этих людей на самом деле помнить свои пароли, но я предполагаю, что это старшие менеджеры.
-
1На практике существуют значительные различия в безопасности между неограниченными попытками (у Вас есть вход и обнаружение проникновения для установки флага этого, правильно?) и никакой пароль вообще. Кроме того, проблемой являются больше, чем просто немые пользователи, не знающие их пароль - можно отсутствовать один ключ случайно, и неправильно себя ведущий клиент или сервис автоматически попробуют его несколько раз, только чтобы быть уверенными. I' замеченная блокировка учетных записей ve только после 3 попыток, который просто смешон. – CrazyPyro 17 October 2014 в 04:09
Необходимо спросить это относительно serverfault.com, хотя быстрым ответом является http://technet.microsoft.com/en-us/library/cc781491 (WS.10) .aspx