¿Microsoft proporciona o planea proporcionar herramientas especiales para solucionar los bloqueos de cuentas en entornos de dominio de Windows 2000 y posteriores?
desde sus primeras versiones, Windows ha incluido una función de seguridad conocida como bloqueo de cuenta que protege contra la falsificación y el secuestro de cuentas. El bloqueo de cuenta asegura que las cuentas de usuario automáticamente no estén disponibles cuando un usuario no puede iniciar sesión después de ingresar un número establecido de contraseñas incorrectas., El administrador utiliza la directiva de seguridad de bloqueo de cuentas de un dominio de Windows para definir el umbral de contraseña incorrecta. En entornos de red grandes con varios controladores de dominio (DCs), los bloqueos de cuentas pueden ser increíblemente difíciles de solucionar porque puede producirse un bloqueo de cuenta en cada DC, y usar las herramientas de administración nativas de Windows para descubrir dónde se produjo el bloqueo de cuenta es difícil en el mejor de los casos.
con la introducción de Windows Server 2003, Microsoft agregó algunas herramientas interesantes relacionadas con el bloqueo de cuentas a su cartera de herramientas de administración., Puede usar las herramientas para abordar los bloqueos de cuentas de Windows 2003 y Win2K. Algunas de estas herramientas también funcionan con Windows XP. Microsoft proporciona algunas de estas herramientas como parte del kit de recursos de Microsoft Windows Server 2003. Todas las herramientas también están disponibles en un paquete de software descargable gratis en el Sitio Web de Microsoft. El cuadro 1 ofrece una visión general de estas herramientas.
el acctinfo.el archivo dll agrega una nueva pestaña de información de Cuenta adicional a las propiedades de una cuenta de usuario de Active Directory (AD), como se muestra en la Figura 1. La nueva pestaña presenta diferentes tipos de información relacionada con el inicio de sesión de la cuenta., Una característica interesante de la herramienta es su capacidad para restablecer la contraseña de un usuario en un DC específico en el dominio. Para restablecer dicha contraseña, haga clic en Set PW On Site DC en la parte inferior de la pestaña. Para agregar la pestaña a las propiedades de su cuenta de anuncios, registre acctinfo.dll en cada máquina desde la que utilice el complemento Usuarios y equipos de Active Directory de Microsoft Management Console (MMC). Para registrar una DLL en Windows, utilice el regsvr32.herramienta de línea de comandos exe.
El alockout.las herramientas dll ayudan a identificar el programa o servicio que está causando el bloqueo de la cuenta (p. ej.,, la entidad que está enviando las credenciales incorrectas). Con las altools descargables.exe, el alockout.el archivo dll viene en dos versiones: Una Para Windows 2003 y Win2K y otra para XP. Para instalar la herramienta, utilice appinit.archivo de registro reg que viene con la herramienta. Cuando se produce un bloqueo de la cuenta después de instalar el DLL, alockout.dll genera una entrada en el alockout.archivo txt, que se almacena en la carpeta \ % windir% \ debug. Microsoft no recomienda usar esta herramienta en servidores que ejecutan aplicaciones o servicios de red importantes (por ejemplo, Microsoft Exchange Server).
Aloinfo.,exe es una herramienta de línea de comandos que muestra una lista de las cuentas de usuario almacenadas en AD y el número de días antes de que caduque la contraseña de cada usuario. Para recuperar esta información, escriba el siguiente comando en la línea de comandos:
Aloinfo /expires /server:servername>
como se muestra en la Figura 2, lockoutstatus.exe le permite consultar la información relacionada con el bloqueo de cuentas de una cuenta de usuario en particular en los diferentes DCs de un dominio. La herramienta muestra la siguiente información:
- El estado del atributo Bad Pwd Count en diferentes DCs., El atributo Bad Pwd Count es un atributo de objeto de usuario de AD que almacena el número de veces que un usuario introdujo una contraseña incorrecta o incorrecta.
- La fecha y hora en que se introdujo por última vez una contraseña incorrecta.
- La fecha y hora en que se estableció la contraseña por última vez.
- La fecha y hora en que se bloqueó la cuenta.
- El nombre del DC que bloqueó la cuenta en el campo «originating lock» (este es el DC que escribió en el atributo Lockouttime de la cuenta de usuario).
debajo del capó, estado de bloqueo.exe usa el nlparse.,herramienta exe para analizar los registros de Netlogon para Códigos de estado de retorno de Netlogon específicos. A continuación, puede guardar la salida de la herramienta en un archivo de texto con valores separados por comas (CSV).