В. Почему в графическом интерфейсе пользователя контроллера домена только для чтения (RODC) нельзя увидеть, что учетная запись пользователя блокирована из-за слишком большого числа попыток регистрации с неправильным паролем?
О. . Обычно контроллеры домена с функциями чтения-записи обновляют многочисленные атрибуты с состоянием блокировки. Однако в RODC обновляют только атрибут lockoutTime учетной записи пользователя, который отражает время, в течение которого учетная запись была блокирована. Атрибут lockoutTime хранится в формате NT System Time, который можно преобразовать к нормальному значению времени командой w32tm /ntte
RODC проверяет атрибут lockoutTime перед попыткой регистрации. Если текущее время без значения lockoutTime меньше продолжительности блокировки, заданной в политике безопасности, то RODC запрещает регистрацию пользователя.
Инструменты с графическим интерфейсом обращаются к атрибуту UserAccountControl, а не к атрибуту lockoutTime, чтобы определить, блокирована ли учетная запись. Поэтому инструменты с графическим интерфейсом не отображают блокированное состояние учетной записи.
Чтобы разблокировать учетную запись, необходимо восстановить связь с контроллером домена с функциями чтения-записи. Этот DC реплицирует значение 0 атрибута lockoutTime в RODC и разблокирует учетную запись.