Microsoft fournit-il ou prévoit-il de fournir des outils spéciaux pour dépanner les verrouillages de compte dans les environnements de domaine Windows 2000 et versions ultérieures?
à partir de ses premières versions, Windows a livré une fonctionnalité de sécurité connue sous le nom de verrouillage de compte qui protège contre l’usurpation de Compte et le détournement. Le verrouillage du compte garantit que les comptes utilisateur deviennent automatiquement indisponibles lorsqu’un utilisateur ne parvient pas à se connecter après avoir entré un nombre défini de mots de passe incorrects., L’administrateur utilise la stratégie de sécurité de verrouillage de Compte D’un domaine Windows pour définir le seuil de mot de passe incorrect. Dans les grands environnements de réseau avec plusieurs contrôleurs de domaine (DCs), les verrouillages de Compte peuvent être incroyablement difficiles à résoudre car un verrouillage de compte peut se produire sur chaque DC, et l’utilisation des outils de gestion Windows natifs pour découvrir où le verrouillage de compte a eu lieu est au mieux difficile.
avec L’introduction de Windows Server 2003, Microsoft a ajouté de nouveaux outils intéressants liés au verrouillage des comptes à son portefeuille d’outils de gestion., Vous pouvez utiliser les outils pour résoudre les verrous de Compte Windows 2003 et Win2K. Certains de ces outils fonctionnent également avec Windows XP. Microsoft fournit certains de ces outils dans le cadre du kit de ressources Microsoft Windows Server 2003. Tous les outils sont également disponibles dans un progiciel téléchargeable gratuitement sur le site Web de Microsoft. Le tableau 1 donne un aperçu de ces outils.
l’acctinfo.le fichier DLL ajoute un nouvel onglet D’informations de Compte supplémentaire aux propriétés d’un compte utilisateur Active Directory (AD), comme le montre la Figure 1. Le nouvel onglet présente différents types d’informations de connexion au compte., Une caractéristique intéressante de l’outil est sa capacité à réinitialiser le mot de passe d’un utilisateur sur un DC spécifique dans le domaine. Pour réinitialiser un tel mot de passe, cliquez sur Set PW On site DC en bas de l’onglet. Pour ajouter l’onglet aux propriétés de votre compte publicitaire, enregistrez acctinfo.dll sur chaque machine à partir de laquelle vous utilisez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory Microsoft Management Console (MMC). Pour enregistrer une DLL dans Windows, utilisez le regsvr32.exe outil de ligne de commande.
l’alockout.les outils dll aident à identifier le programme ou le service à l’origine d’un verrouillage de Compte (c’est-à-dire, l’entité qui envoie le mauvais identifiants). Avec les altools téléchargeables.exe, le alockout.le fichier dll est disponible en deux versions: Une Pour Windows 2003 et Win2K et une autre pour XP. Pour installer l’outil, utilisez appinit.fichier de registre reg fourni avec l’outil. Lorsqu’un verrouillage de Compte se produit après l’installation de la DLL, alockout.DLL génère une entrée dans alockout.fichier txt, qui est stocké dans le dossier \%windir%\debug dossier. Microsoft ne recommande pas d’utiliser cet outil sur des serveurs exécutant des services ou applications réseau importants (par exemple, Microsoft Exchange Server).
Aloinfo.,exe est un outil de ligne de commande qui affiche une liste des comptes d’utilisateurs stockés dans AD et le nombre de jours avant l’expiration du mot de passe de chaque utilisateur. Pour récupérer ces informations, tapez la commande suivante sur la ligne de commande:
Aloinfo /expires /server:servername>
Comme le montre la Figure 2, lockoutstatus.exe vous permet d’interroger les informations relatives au verrouillage du compte d’un compte utilisateur particulier sur les différents DCs d’un domaine. L’outil affiche les informations suivantes:
- l’état de L’attribut Bad Pwd Count sur différents DCs., L’attribut Bad Pwd Count est un attribut d’objet utilisateur AD qui stocke le nombre de fois qu’un utilisateur a entré un mot de passe incorrect ou incorrect.
- date et heure de la dernière saisie d’un mauvais mot de passe.
- la date et l’heure auxquelles le mot de passe a été défini pour la dernière fois.
- la date et l’heure du verrouillage du compte.
- Le nom du DC qui a verrouillé le compte dans le champ « verrouillage d’origine » (C’est le DC qui a écrit dans L’attribut Lockouttime du compte utilisateur).
Sous le capot, lockoutstatus.exe utilise le nlparse.,outil exe pour analyser les journaux Netlogon pour des codes d’état de retour Netlogon spécifiques. Vous pouvez ensuite enregistrer la sortie de l’outil dans un fichier texte CSV (valeur séparée par des virgules).