Microsoft fornisce o prevede di fornire strumenti speciali per risolvere i blocchi degli account in ambienti di dominio Windows 2000 e successivi?
Dalle sue prime versioni, Windows ha fornito con una funzione di sicurezza nota come account lockout che protegge contro account spoofing e dirottamento. Account lockout assicura che gli account utente diventano automaticamente non disponibili quando un utente non riesce ad accedere dopo aver inserito un determinato numero di password errate., L’amministratore utilizza i criteri di sicurezza di blocco account di un dominio Windows per definire la soglia della password errata. In ambienti di rete di grandi dimensioni con più controller di dominio (DCS), i blocchi degli account possono essere incredibilmente difficili da risolvere perché un blocco dell’account può verificarsi su ogni DC e l’utilizzo degli strumenti di gestione nativi di Windows per scoprire dove si è verificato il blocco dell’account è al massimo difficile.
Con l’introduzione di Windows Server 2003, Microsoft ha aggiunto alcuni interessanti nuovi strumenti relativi al blocco degli account al suo portafoglio di strumenti di gestione., È possibile utilizzare gli strumenti per risolvere i blocchi degli account Windows 2003 e Win2K. Alcuni di questi strumenti funzionano anche con Windows XP. Microsoft fornisce alcuni di questi strumenti come parte del Microsoft Windows Server 2003 Resource Kit. Tutti gli strumenti sono disponibili anche in un pacchetto software scaricabile gratuitamente sul sito Web di Microsoft. La tabella 1 fornisce una panoramica di questi strumenti.
L’acctinfo.file dll aggiunge una nuova scheda Informazioni account aggiuntivo per proprietà di un account utente Active Directory (AD), come Figura 1 mostra. La nuova scheda presenta diversi tipi di informazioni relative all’accesso all’account., Una caratteristica interessante dello strumento è la sua capacità di reimpostare la password di un utente su un DC specifico nel dominio. Per reimpostare tale password, fare clic su Imposta PW sul sito DC nella parte inferiore della scheda. Per aggiungere la scheda alle proprietà dell’account ANNUNCIO, registra acctinfo.dll su ogni macchina da cui si sta utilizzando la Microsoft Management Console (MMC) Utenti Active Directory e computer snap-in. Per registrare una DLL in Windows, utilizzare regsvr32.strumento da riga di comando exe.
Il blocco.gli strumenti dll aiutano a identificare il programma o il servizio che causa il blocco dell’account (es.,, l’entità che sta inviando le credenziali errate). Con gli altools scaricabili.exe, il blocco.il file dll è disponibile in due versioni: una per Windows 2003 e Win2K e un’altra per XP. Per installare lo strumento, utilizzare appinit.reg file di registro che viene fornito con lo strumento. Quando si verifica un blocco dell’account dopo aver installato la DLL, alockout.dll genera una voce nel alockout.file txt, che viene memorizzato nella cartella\%windir % \ debug. Microsoft non consiglia di utilizzare questo strumento su server che eseguono importanti servizi di rete o applicazioni (ad esempio, Microsoft Exchange Server).
Aloinfo.,exe è uno strumento da riga di comando che visualizza un elenco degli account utente memorizzati in AD e il numero di giorni prima della scadenza della password di ciascun utente. Per recuperare queste informazioni, digitare il seguente comando nella riga di comando:
Aloinfo /expires /server:servername>
Come mostra la figura 2, lockoutstatus.exe consente di interrogare le informazioni relative al blocco dell’account di un particolare account utente sui diversi DCS di un dominio. Lo strumento visualizza le seguenti informazioni:
- Lo stato dell’attributo di conteggio Pwd errato su diversi DCS., L’attributo Pwd Count non valido è un attributo Oggetto utente AD che memorizza il numero di volte in cui un utente ha inserito una password errata o errata.
- La data e l’ora dell’ultima immissione di una password errata.
- La data e l’ora in cui la password è stata impostata per l’ultima volta.
- La data e l’ora in cui l’account è stato bloccato.
- Il nome del DC che ha bloccato l’account nel campo “blocco di origine” (questo è il DC che ha scritto l’attributo Lockouttime dell’account utente).
Sotto il cofano, lockoutstatus.exe utilizza il nlparse.,strumento exe per analizzare i log Netlogon per specifici codici di stato di ritorno Netlogon. È quindi possibile salvare l’output dello strumento in un file di testo con valori separati da virgole (CSV).