gir Microsoft eller planlegger å gi spesielle verktøy for å feilsøke konto lockout i Windows 2000 og senere domene miljøer?
Fra sin tidlige versjoner, Windows har sendt med en sikkerhets funksjon som er kjent som konto lockout som beskytter mot konto spoofing og kapring. Konto lockout sikrer at brukerkontoer automatisk bli tilgjengelige når brukeren ikke klarer å logge deg på når du har angitt en rekke dårlige passord., Administrator bruker et Windows-domene ‘ s konto lockout retningslinjer for sikkerhet for å angi den dårlige passord terskel. I store nettverk-miljøer med flere domenekontrollere (DCs), konto lockout kan være utrolig vanskelig å feilsøke fordi en konto lockout kan oppstå på ethvert DC, og ved hjelp av de innfødte Windows management verktøy for å oppdage hvor kontoen lockout tok sted er vanskelig i beste fall.
Med introduksjonen av Windows Server 2003, Microsoft lagt til noen spennende nye konto lockout–relaterte verktøy til sin management-verktøyet portefølje., Du kan bruke verktøy for å løse Windows 2003 og Win2K konto lockout. Noen av disse verktøyene fungerer også med Windows XP. Microsoft gir noen av disse verktøyene som en del av Microsoft Windows Server 2003 Resource Kit. Alle verktøy er også tilgjengelig i en gratis nedlastbar programvare pakke på Microsofts Web-område. Tabell 1 gir en oversikt over disse verktøyene.
acctinfo.dll-fil legger til en ny Ekstra Konto Info til en Active Directory (AD) brukerkonto egenskaper, som Figur 1 viser. Den nye kategorien presenterer ulike typer av kontoen pålogging–relatert informasjon., En interessant funksjon i verktøyet er dens evne til å tilbakestille passordet til en bruker på en bestemt DC i domenet. For å tilbakestille slik et passord, klikker du på Angi PW På Stedet DC nederst i kategorien. For å legge til kategorien for å få ANNONSEN din konto egenskaper, registrere acctinfo.dll-filen på hver maskin som du bruker Microsoft Management Console (MMC) Active Directory-Brukere og-Datamaskiner snap-in. For å registrere en DLL-fil i Windows, bruk regsvr32.exe-command-line verktøy.
alockout.dll-verktøy kan bidra til å identifisere programmet eller tjenesten som forårsaker en konto lockout (dvs., den enheten som sender feil legitimasjon). Med den nedlastbare altools.exe, den alockout.dll-fil leveres i to versjoner: en for Windows 2003 og Win2K og en annen for XP. For å installere verktøyet, kan du bruke appinit.reg-registret-fil som følger med verktøyet. Når en konto lockout oppstår etter at du installerer DLL, alockout.dll genererer en oppføring i alockout.txt-fil som er lagret i mappen \%windir%\debug-mappen. Microsoft vil ikke anbefale å bruke dette verktøyet på servere som kjører viktig nettverk tjenester eller programmer (for eksempel Microsoft Exchange Server).
Aloinfo.,exe-er et kommandolinje-verktøy som viser en liste over brukerkontoer som er lagret i AD og antall dager før hver brukers passord utløper. For å hente denne informasjonen, skriver du inn følgende kommando på kommandolinjen:
Aloinfo /expires /server:servername>
Som Figur 2 viser, lockoutstatus.exe lar deg spørring for kontoen lockout–relatert informasjon i en bestemt brukerkonto på ulike DCs av et domene. Verktøyet viser følgende informasjon:
- status for Dårlig Pwd-Count-attributtet på ulike DCs., Den Dårlige Pwd-Count-attributtet er en AD user-objekt-attributtet som lagrer antall ganger en bruker som har oppgitt en ugyldig eller feil passord.
- dato og tid på et dårlig passord sist ble angitt.
- dato og tid passordet sist ble sett.
- dato og tid kontoen ble låst ut.
- navnet på DC som sperret konto i «stammer lock» – feltet (dette er DC som skrev til Lockouttime egenskap av bruker-konto).
Under panseret, lockoutstatus.exe bruker nlparse.,exe-verktøyet til å analysere Netlogon-logger for spesifikke Netlogon-retur status koder. Du kan deretter lagre verktøyet utgang til en kommaseparert verdier (CSV) – tekst-fil.