Việc khóa tài khoản xảy ra sau một số lần đăng nhập không thành công của người dùng, hệ thống giả thiết là có tấn công có hại tới tài khoản bằng cách dò tìm mật khẩu, bởi vậy sẽ khóa tài khoản để không được đăng nhập tiếp nữa. Chính sách khóa tài khoản miền xác định số lần đăng nhập không hợp lệ được phép thực hiện trong một khoảng thời gian đã định trước thì tài khoản bị khóa. Các chính sách này thậm chí còn được xác định có phải liên hệ với quản trị để bỏ khóa tài khoản này hay không hay chỉ đơn giản là bỏ khóa sau khi hết một thời hạn xác định.
Sử dụng chính sách nhóm để kiểm soát khóa tài khoản như sau:
- Account Lockout Threshold: Xác định số lần đăng nhập không thành công gây ra việc khóa tài khoản, giá trị này trong khoảng phù hợp. Nếu giá trị này quá thấp có thể gây nên khóa đối với lỗi người dùng thông thường trong khi đăng nhập. Giá trị là 0 ngăn không cho tài khoản người dùng bị khóa.
- Account Lockount Dnuration: Xác định thời hạn mà tài khoản người dùng sau khi bị khóa sẽ được Active Directory tự động mở lại. Chính sách này không được thiết lập mặc định do nó chỉ có tác dụng khi sử dụng kết hợp với chính sách Account Lockount Theshold. Giá trị này trong khoảng 10 tuần. Việc đặt giá trị này thấp là đủ giảm đáng kể các cuộc tấn công mà không làm ảnh hưởng các người dung hợp lệ bị khóa do lỗi. Giá trị 0 yêu cầu người dùng liên hệ với người quản trị mạng để mở khóa tài khoản này.
- Reset Account Lockount Counter After: Xác định thời hạn sau lần cố tình đăng nhập không thành công trước khi biến đếm khóa được đặt lại về giá trị 0.
Cũng giống như chính sách mật khẩu, bạn có thể cấu hình chính sách tài khoản tại bảng điều khiển Group Policy Object Editor. Chính sách khóa tài khoản cũng có thể có tại bảng điều khiển Local Secrity Policy. Khi triển khai chính sách khóa tài khoản trên mạng, bạn chắc chắn là sẽ nhận được một số cuộc gọi hỗ trợ nhất định từ người dùng mà họ đã không biết là đã tự khóa chính mình. Các cuộc gọi như vậy đôi khi lại được báo cáo là họ gặp một số trục trặc như mất mật khẩu hay các chức năng khác hoạt động không đúng. Khi đó các nhân viên hỗ trợ kỹ thuật cần phải biết rõ về chính sách khóa tài khoản trên mạng và thủ tục cần để mở tài khoản bị khóa để có thể xác định được chính xác về trục trặc thực tế xảy ra dựa trên báo cáo dường như không chính xác của người dùng.