Czy firma Microsoft udostępnia lub planuje udostępnić specjalne narzędzia do rozwiązywania problemów z blokadą kont w systemach Windows 2000 i nowszych środowiskach domenowych?
od wczesnych wersji systemu Windows został wyposażony w funkcję zabezpieczeń znaną jako blokada konta, która chroni przed fałszowaniem i porywaniem kont. Blokada konta zapewnia, że konta użytkowników stają się automatycznie niedostępne, gdy użytkownik nie zaloguje się po wprowadzeniu określonej liczby złych haseł., Administrator używa zasad bezpieczeństwa blokowania kont w domenie Windows, aby zdefiniować próg nieprawidłowego hasła. W dużych środowiskach sieciowych z wieloma kontrolerami domen (DCs) blokowanie kont może być niezwykle trudne do rozwiązania, ponieważ blokada kont może wystąpić w każdym DC, a korzystanie z natywnych narzędzi do zarządzania Windows, aby dowiedzieć się, gdzie miało miejsce blokowanie kont, jest w najlepszym razie trudne.
wraz z wprowadzeniem systemu Windows Server 2003, Microsoft dodał kilka ciekawych nowych narzędzi związanych z blokadą konta do swojego portfolio narzędzi do zarządzania., Możesz użyć narzędzi, aby rozwiązać problemy z blokadami kont Windows 2003 i Win2K. Niektóre z tych narzędzi działają również z systemem Windows XP. Microsoft udostępnia niektóre z tych narzędzi jako część Microsoft Windows Server 2003 Resource Kit. Wszystkie narzędzia są również dostępne w Darmowym Pakiecie oprogramowania do pobrania na stronie internetowej firmy Microsoft. Tabela 1 zawiera przegląd tych narzędzi.
the acctinfo.plik dll dodaje nową kartę dodatkowych informacji o koncie do właściwości konta użytkownika Active Directory (AD), jak pokazuje rysunek 1. Nowa zakładka prezentuje różne rodzaje informacji związanych z logowaniem do konta., Ciekawą cechą narzędzia jest możliwość resetowania hasła użytkownika na określonym DC w domenie. Aby zresetować takie hasło, kliknij Set Pw On Site DC u dołu karty. Aby dodać kartę do właściwości konta reklamowego, zarejestruj acctinfo.dll na każdym komputerze, z którego korzystasz przystawka użytkowników i komputerów Active Directory Microsoft Management Console (MMC). Aby zarejestrować bibliotekę DLL w systemie Windows, użyj regsvr32.exe narzędzie wiersza poleceń.
Alockout.narzędzia dll pomagają zidentyfikować program lub usługę, która powoduje blokadę konta (np.,, podmiot, który wysyła błędne dane uwierzytelniające). Z altools do pobrania.exe, alockout.plik dll jest dostępny w dwóch wersjach: jedna Dla Windows 2003 i Win2K i druga dla XP. Aby zainstalować narzędzie, użyj appinit.plik rejestru reg dostarczany wraz z narzędziem. Gdy blokada konta występuje po zainstalowaniu biblioteki DLL, alockout.dll generuje wpis w alockout.plik txt, który jest przechowywany w folderze\%windir % \ debug. Microsoft nie zaleca używania tego narzędzia na serwerach z ważnymi usługami sieciowymi lub aplikacjami (np. Microsoft Exchange Server).
Aloinfo.,exe to narzędzie wiersza poleceń, które wyświetla listę kont użytkowników przechowywanych w AD i liczbę dni przed wygaśnięciem hasła każdego użytkownika. Aby pobrać te informacje, wpisz następujące polecenie w wierszu poleceń:
Aloinfo /expires /server:servername>
Jak pokazuje rysunek 2, lockoutstatus.exe pozwala na zapytanie o informacje związane z blokadą konta konkretnego konta użytkownika na różnych DCs domeny. Narzędzie wyświetla następujące informacje:
- status złego atrybutu Pwd Count na różnych serwerach DCs., Atrybut Bad Pwd Count jest atrybutem obiektu AD user, który przechowuje liczbę razy, gdy użytkownik wprowadził złe lub złe hasło.
- Data i godzina ostatniego wprowadzenia błędnego hasła.
- Data i godzina ostatniego ustawienia hasła.
- Data i godzina zablokowania konta.
- nazwa DC, który zablokował konto w polu „Origin lock” (jest to DC, który napisał do atrybutu Lockouttime konta użytkownika).
pod maską, lockoutstatus.exe używa nlparse.,narzędzie exe do analizy dzienników Netlogon dla określonych kodów statusu Netlogon return. Następnie można zapisać dane wyjściowe narzędzia do pliku tekstowego CSV (comma-separated value).