账户锁定是指在某些情况下（账户受到采用密码词典或暴力破解方式的在线自动登录攻击等），为保护该账户的安全而将此账户进行锁定，使其在一定时间内不能再次使用此账户，从而挫败连续的猜解尝试。

Windows Server 2003系统在默认情况下，为方便用户起见，这种锁定策略并没有进行设置。因此对黑客的攻击没有任何限制。

只要有耐心，通过自动登录工具和密码猜解字典进行攻击，甚至可以进行暴力模式攻击，破解密码只是一个时间问题。

账户锁定策略设置的第一步就是指定账户锁定的阈值，即锁定前该账户无效登录的次数。一般来说，由于操作失误造成的登录失败的次数是有限的。

在这里设置锁定阈值为3次，这样只允许3次登录尝试。如果3次登录全部失败，就会锁定该账户。

但是，一旦该账户被锁定后，即使是合法用户也就无法使用了。只有管理员才可以重新启用该账户，这就造成了许多不便。为方便用户起见，可以同时设置锁定的时间和复位计数器的时间，这样以来在3次无效登录后就开始锁定账户，以及锁定时间为30分钟为限。

以上的账户锁定设置，可以有效地避免自动猜解工具的攻击，同时对于手动尝试者的耐心和信心也可造成很大的打击。锁定用户账户常常会造成一些不便，但系统的安全有时更为重要。