Microsoft poskytuje, nebo plánuje poskytovat, speciální nástroje k řešení problémů účtu výluky v systému Windows 2000 a novější doménové prostředí?
od svých raných verzí systém Windows dodával s bezpečnostní funkcí známou jako výluka účtu, která chrání před spoofingem a únosem účtu. Uzamčení účtu zajišťuje, že uživatelské účty se automaticky stanou nedostupnými,když se uživatel po zadání nastaveného počtu špatných hesel nepřihlásí., Správce používá zásady zabezpečení blokování účtu domény Windows k definování prahu špatného hesla. Ve velkých síťových prostředí s více řadičů domény (Dc), uzamčení účtu může být neuvěřitelně těžké řešit, protože uzamčení účtu může dojít na každém DC, a pomocí nativní nástroje pro správu systému Windows, aby zjistili, kde uzamčení účtu došlo, je obtížné v nejlepším.
se zavedením systému Windows Server 2003 společnost Microsoft přidala do svého portfolia nástrojů pro správu a správu několik zajímavých nových nástrojů souvisejících s uzamčením účtu., Pomocí nástrojů můžete řešit výluky účtů Windows 2003 a Win2K. Některé z těchto nástrojů také pracují se systémem Windows XP. Společnost Microsoft poskytuje některé z těchto nástrojů jako součást sady prostředků Microsoft Windows Server 2003. Všechny nástroje jsou také k dispozici v bezplatném softwarovém balíčku ke stažení na webových stránkách společnosti Microsoft. Tabulka 1 poskytuje přehled těchto nástrojů.
acctinfo.soubor dll přidává novou kartu doplňkových informací o účtu do vlastností uživatelského účtu Active Directory (AD), jak ukazuje obrázek 1. Nová karta představuje různé typy informací o přihlášení účtu., Zajímavou vlastností nástroje je jeho schopnost resetovat heslo uživatele na konkrétní DC v doméně. Chcete-li resetovat takové heslo, klikněte na nastavit PW na webu DC v dolní části karty. Chcete-li kartu Přidat do vlastností účtu reklamy, zaregistrujte acctinfo.dll na každém počítači, ze kterého používáte Microsoft Management Console (MMC) Active Directory uživatelé a počítače snap-in. Chcete-li zaregistrovat DLL ve Windows, použijte regsvr32.nástroj příkazového řádku exe.
alockout.nástroje dll pomáhají identifikovat program nebo službu, která způsobuje uzamčení účtu (tj.,, subjekt, který posílá nesprávné pověření). Se stahovatelnými altooly.exe, alockout.dll soubor je dodáván ve dvou verzích: jeden pro Windows 2003 a Win2K a druhý pro XP. Chcete-li nástroj nainstalovat, použijte aplikaci appinit.reg registry soubor, který je dodáván s nástrojem. Když dojde k uzamčení účtu po instalaci DLL, alockout.dll generuje záznam v alockout.txt soubor, který je uložen ve složce\%windir % \ debug. Microsoft nedoporučuje používat tento nástroj na serverech s důležitými síťovými službami nebo aplikacemi(např.
Aloinfo.,exe je nástroj příkazového řádku, který zobrazuje seznam uživatelských účtů uložených v reklamě a počet dní před vypršením hesla každého uživatele. Chcete-li získat tyto informace, zadejte na příkazovém řádku následující příkaz:
Aloinfo /expires /server:servername>
jak ukazuje obrázek 2, lockoutstatus.exe umožňuje dotaz na informace týkající se uzamčení účtu konkrétního uživatelského účtu na různých DCs domény. Nástroj zobrazuje následující informace:
- stav atributu špatného počtu PWD na různých DCs., Atribut Bad PWD Count je atribut objektu uživatele reklamy, který ukládá kolikrát uživatel zadal špatné nebo nesprávné heslo.
- datum a čas, kdy bylo naposledy zadáno špatné heslo.
- datum a čas, kdy bylo heslo Naposledy nastaveno.
- datum a čas, kdy byl účet uzamčen.
- název DC, který uzamkl účet v poli „původní zámek“ (toto je DC, který napsal atributu Lockouttime uživatelského účtu).
pod kapotou, lockoutstatus.exe používá nlparse.,exe nástroj analyzovat protokoly Netlogon pro konkrétní Netlogon návrat stavové kódy. Výstup nástroje pak můžete uložit do textového souboru s hodnotou oddělenou čárkou (CSV).