Har Microsoft giver eller har planer om at give særlige værktøjer til fejlfinding konto lockout i Windows 2000 og senere domæne miljøer?
fra sine tidlige versioner, Windowsindo .s har leveret med en sikkerhedsfunktion kendt som konto lockout, der beskytter mod konto spoofing og kapring. Konto lockout sikrer, at brugerkonti automatisk bliver utilgængelige, når en bruger ikke logger på efter at have indtastet et bestemt antal dårlige adgangskoder., Administratoren bruger en accountindo .s-domænets konto lockout sikkerhedspolitik til at definere den dårlige adgangskode tærskel. I store netværk miljøer med flere domæne controllere (DCs), account lockout kan være utroligt svært at fejlfinde, fordi en konto lockout kan forekomme på alle DC, og ved hjælp af den indbyggede Windows-værktøjer til at opdage, hvor den konto, lockout, fandt sted, er det vanskeligt i bedste.
Med introduktionen af .indo .s Server 2003 tilføjede Microsoft nogle interessante nye konto lockout–relaterede værktøjer til sin management-tool portefølje., Du kan bruge værktøjerne til at løse accountindo .s 2003 og accountin2k konto lockout. Nogle af disse værktøjer fungerer også med .indo .s .p. Microsoft leverer nogle af disse værktøjer som en del af Microsoft Serverindo .s Server 2003 Resource Kit. Alle værktøjer er også tilgængelige i en gratis softwarepakke, der kan hentes på Microsofts websted. Tabel 1 giver et overblik over disse værktøjer.
acctinfo.dll-fil tilføjer en ny ekstra konto Info fane til en Active Directory (AD) brugerkonto egenskaber, som Figur 1 viser. Den nye fane viser forskellige typer af konto logon-relaterede oplysninger., Et interessant træk ved værktøjet er dets evne til at nulstille en brugers adgangskode på en bestemt DC i domænet. For at nulstille en sådan adgangskode skal du klikke på Indstil P.på stedet DC nederst på fanen. Registrer acctinfo for at tilføje fanen til egenskaberne for din annoncekonto.dll på hver maskine, hvorfra du bruger Microsoft Management Console (MMC) Active Directory brugere og computere snap-in. For at registrere en DLL i Windowsindo .s skal du bruge regsvr32.e .e kommandolinjeværktøj.
alockout.dll-værktøjer hjælper med at identificere det program eller den tjeneste, der forårsager en kontolåsning (dvs.,, den enhed, der sender de forkerte legitimationsoplysninger). Med de do .nloades altools.e ,e, alockout.dll-fil kommer i to versioner: en til 2003indo .s 2003 og .in2k og en anden til .p. For at installere værktøjet skal du bruge appinit.reg registreringsfil, der følger med værktøjet. Når en konto lockout opstår, efter at du har installeret DLL, alockout.dll genererer en post i alockout.t .t-fil, som er gemt i mappen \%debindir%\debug. Microsoft anbefaler ikke at bruge dette værktøj på servere, der kører vigtige netværkstjenester eller applikationer (f.eks.
Aloinfo.,e .e er et kommandolinjeværktøj, der viser en liste over de brugerkonti, der er gemt i AD, og antallet af dage før hver brugers adgangskode udløber. For at hente disse oplysninger, skal du skrive følgende kommando på kommandolinjen:
Aloinfo /expires /server:servername>
Som Figur 2 viser, lockoutstatus.e .e lader dig forespørge efter konto lockout–relaterede oplysninger om en bestemt brugerkonto på de forskellige DCs af et domæne. Værktøjet viser følgende oplysninger:
- status for attributten dårlig p .d-tælling på forskellige DCs., Attributten Bad p .d Count er en attribut til ANNONCEBRUGEROBJEKT, der gemmer det antal gange, en bruger har indtastet en dårlig eller forkert adgangskode.
- den dato og det tidspunkt, hvor der sidst blev indtastet en dårlig adgangskode.
- dato og klokkeslæt for adgangskoden sidst blev angivet.
- dato og klokkeslæt for, hvornår kontoen blev låst.
- navnet på DC, der låste kontoen i feltet “originating lock” (dette er DC, der skrev til lockouttime-attributten for brugerkontoen).
Under emhætten, lockoutstatus.e .e bruger nlparse.,e .e værktøj til at analysere Netlogon logs for specifikke Netlogon return statuskoder. Du kan derefter gemme værktøjets output til en kommasepareret værdi (CSV) tekstfil.