Hoe kunnen we u vandaag helpen?

Domeinaccounts van gebruikers vergrendeld vanwege mislukte inlogpogingen

U bent hier:
< Terug

Gebruikersaanmeldingen bij MyWorkDrive, wanneer uw MyWorkDrive-server aanmelding via traditionele gebruikersnaam en wachtwoordaanmelding (niet SSO) toestaat, zijn aanmeldingsgebeurtenissen op Active Directory.

Mislukte inlogpogingen bij MyWorkDrive tellen als "pogingen" in Active Directory voor een accountvergrendelingsbeleid en kunnen in sommige scenario's een accountvergrendeling veroorzaken met een laag aantal inlogpogingen.

De vereenvoudigde gebruikersaanmelding van MyWorkDrive zal meerdere pogingen ondernemen door gebruikersnamen samen te stellen op basis van de domein(en) en upn-achtervoegsels in de Active Directory, gecombineerd met het testen van meerdere beschikbare methoden, en deze proberen totdat het succes oplevert. De combinatie van meerdere domeinen, gebruikersnaamsyntaxis en softwaremethoden zal resulteren in meerdere pogingen op AD vanuit één enkele aanmeldingsgebeurtenis (afhankelijk van wat de gebruiker aanvankelijk invoert)

Als de gebruiker bijvoorbeeld inlogt met "Scott", zal MyWorkDrive proberen

Scott via wcf
Scott via .net
domein1\scott via .net
domein1\scott via wcf
domein2\scott via wcf
domein2\scott via .net
scott@upnsuffix1 via .net
scott@upnsuffix1 via wcf
scott@upnsuffix2 via .net
scott@upnsuffix2 via wcf

Dat zijn tien mislukte pogingen voor één inlogpoging. Als de gebruiker een onjuist wachtwoord invoert en het accountvergrendelingsbeleid is ingesteld op 3, zou er al een uitsluiting voor de gebruiker zijn bereikt.

Er zijn verschillende manieren om de gebruikerservaring te verbeteren en potentiële uitsluitingen te beperken wanneer gebruikers slechte wachtwoorden invoeren:

  • E-mailadres vereist om in te loggen. In dat geval worden er slechts drie tot vier inlogpogingen geregistreerd (één keer om de accountstatus te controleren en één keer om in te loggen met wcf en .NET – 3 via de webclient, 4 via andere clients). Dit is een instelling op de pagina Instellingen van MyWorkDrive-beheer.
  • Train uw gebruikers om in te loggen met een domein, zoals domein\gebruiker, wat ook resulteert in slechts drie tot vier inlogpogingen per login.
  • Implementeer een SSO, waarbij de pogingen worden verplaatst naar de SSO (en vereisen doorgaans ook een e-mail die meerdere pogingen verwijdert). We hebben de installatie vereenvoudigd voor: ADFS, AzureAD, OneLogin en Okta en configuratiebestanden hebben waarmee u: handmatig elke SAML SSO instellen.
  • Stel een accountvergrendelingsbeleid in dat meerdere inlogpogingen toestaat zonder een uitsluiting te creëren. 10 is een redelijk aantal voor een domein zonder meerdere UPN's of meerdere domeinen waarbij de gebruiker 2-3 pogingen kan doen zonder zichzelf buiten te sluiten.

 

De instelling bewerken om e-mail als gebruikersnaam te vereisen in MyWorkDrive:

 

De toegestane wachtwoordpogingen bewerken in Groepsbeleid

https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/how-to-configure-security-policy-settings