biedt Microsoft speciale hulpmiddelen voor het oplossen van problemen met accountvergrendelingen in domeinomgevingen van Windows 2000 en later?
vanaf de eerste versies is Windows geleverd met een beveiligingsfunctie die bekend staat als account lockout die beschermt tegen account spoofing en kaping. Account lockout zorgt ervoor dat gebruikersaccounts automatisch niet beschikbaar worden wanneer een gebruiker zich niet aanmeldt na het invoeren van een bepaald aantal slechte wachtwoorden., De beheerder gebruikt het beveiligingsbeleid voor accountvergrendeling van een Windows-domein om de drempelwaarde voor slecht wachtwoord te definiëren. In grote netwerkomgevingen met meerdere domeincontrollers (DCS) kunnen account lockouts ongelooflijk moeilijk zijn om problemen op te lossen, omdat een account lockout kan optreden op elke DC, en het gebruik van de native Windows management tools om te ontdekken waar de account lockout plaatsvond is op zijn best moeilijk.
met de introductie van Windows Server 2003 voegde Microsoft een aantal interessante nieuwe account lockout-gerelateerde tools toe aan zijn management-tool portfolio., U kunt de tools gebruiken om Windows 2003 en Win2K account lockouts aan te pakken. Sommige van deze tools werken ook met Windows XP. Microsoft biedt een aantal van deze tools als onderdeel van de Microsoft Windows Server 2003 Resource Kit. Alle tools zijn ook beschikbaar in een gratis downloadbaar softwarepakket op de Microsoft website. Tabel 1 geeft een overzicht van deze instrumenten.
De acctinfo.dll-bestand voegt een nieuw tabblad Extra Accountinfo toe aan de eigenschappen van een Active Directory-gebruikersaccount (AD), zoals in Figuur 1 wordt weergegeven. Het nieuwe tabblad presenteert verschillende soorten account-logon-gerelateerde informatie., Een interessante functie van de tool is de mogelijkheid om het wachtwoord van een gebruiker te resetten op een specifieke DC in het domein. Om een dergelijk wachtwoord opnieuw in te stellen, klikt u op Set PW On Site DC onder aan het tabblad. Om het tabblad toe te voegen aan uw advertentie-account eigenschappen, registreer acctinfo.dll op elke machine van waaruit u de MMC-module Active Directory-gebruikers en Computers (Microsoft Management Console) gebruikt. Om een DLL in Windows te registreren, gebruikt u de regsvr32.exe opdrachtregelprogramma.
The alockout.dll tools helpen bij het identificeren van het programma of de service die een account lockout veroorzaakt (d.w.z.,, de entiteit die de verkeerde referenties stuurt). Met de downloadbare altools.exe, de alockout.dll-bestand wordt geleverd in twee versies: Een Voor Windows 2003 en Win2K en een andere voor XP. Gebruik de appinit om de tool te installeren.reg registerbestand dat wordt geleverd met de tool. Wanneer er een account lockout optreedt nadat u de DLL installeert, dan volgt een lockout.dll genereert een item in de alockout.txt-bestand, dat is opgeslagen in de map\%windir % \ debug. Microsoft raadt het gebruik van deze tool niet aan op servers waarop belangrijke netwerkdiensten of toepassingen worden uitgevoerd (bijvoorbeeld Microsoft Exchange Server).
Aloinfo.,exe is een opdrachtregelprogramma dat een lijst toont van de gebruikersaccounts die zijn opgeslagen in AD en het aantal dagen voordat het wachtwoord van elke Gebruiker verloopt. Om deze informatie op te halen, typt u de volgende opdracht op de opdrachtregel:
Aloinfo /expires /server:servername>
zoals figuur 2 laat zien, lockoutstatus.met exe kunt u vragen naar de account lockout–gerelateerde informatie van een bepaald gebruikersaccount op de verschillende DCs van een domein. Het hulpprogramma toont de volgende informatie:
- de status van het attribuut Bad PWD Count op verschillende DCs., Het attribuut Bad PWD Count is een AD user object attribuut dat het aantal keren dat een gebruiker een slecht of verkeerd wachtwoord heeft ingevoerd, opslaat.
- de datum en tijd waarop Voor het laatst een onjuist wachtwoord is ingevoerd.
- de datum en tijd waarop het wachtwoord voor het laatst is ingesteld.
- de datum en het tijdstip waarop het account werd buitengesloten.
- de naam van de DC die het account vergrendelde in het veld “originating lock” (Dit is de DC die schreef naar het Lockouttime attribuut van het gebruikersaccount).
onder de motorkap, lockoutstatus.exe gebruikt de nlparse.,exe tool om de Netlogon logs te ontleden voor specifieke Netlogon return statuscodes. Vervolgens kunt u de uitvoer van het gereedschap opslaan in een CSV-tekstbestand (comma-separated value).