Microsoft oferă sau intenționează să furnizeze instrumente speciale pentru depanarea blocărilor de cont în mediile de domeniu Windows 2000 și ulterioare?din versiunile sale timpurii, Windows a fost livrat cu o caracteristică de securitate cunoscută sub numele de blocare a contului, care protejează împotriva falsificării și deturnării contului. Blocarea contului asigură faptul că conturile de utilizator devin automat indisponibile atunci când un utilizator nu reușește să se conecteze după introducerea unui număr stabilit de parole proaste., Administratorul utilizează Politica de securitate a blocării contului unui domeniu Windows pentru a defini pragul de parolă rău. În medii mari de rețea cu mai multe controlere de domeniu (DCs), blocările contului pot fi incredibil de greu de depanat, deoarece poate apărea o blocare a contului pe fiecare DC, iar utilizarea instrumentelor native de gestionare Windows pentru a descoperi unde a avut loc blocarea contului este dificilă în cel mai bun caz. odată cu introducerea Windows Server 2003, Microsoft a adăugat câteva instrumente interesante legate de blocarea contului în portofoliul său de instrumente de management., Puteți utiliza instrumentele pentru a aborda blocările contului Windows 2003 și Win2K. Unele dintre aceste instrumente funcționează și cu Windows XP. Microsoft oferă unele dintre aceste instrumente ca parte a kitului de resurse Microsoft Windows Server 2003. Toate instrumentele sunt, de asemenea, disponibile într-un pachet software descărcabil gratuit pe site-ul Web Microsoft. Tabelul 1 oferă o imagine de ansamblu a acestor instrumente.de ce nu?fișierul dll adaugă o nouă filă informații suplimentare despre cont la proprietățile unui cont de utilizator Active Directory (AD), după cum arată Figura 1. Noua filă prezintă diferite tipuri de informații legate de conectarea contului., O caracteristică interesantă a instrumentului este capacitatea sa de a reseta parola unui utilizator pe un anumit DC din domeniu. Pentru a reseta o astfel de parolă, faceți clic pe Setați PW pe site DC în partea de jos a filei. Pentru a adăuga fila la proprietățile contului de reclame, înregistrează acctinfo.dll pe fiecare mașină de la care utilizați Microsoft Management Console (MMC) utilizatorii Active Directory și Calculatoare snap-in. Pentru a înregistra un DLL în Windows, utilizați regsvr32.instrument de linie de comandă exe.
alockout.instrumentele dll ajută la identificarea programului sau serviciului care cauzează blocarea contului (adică.,, entitatea care trimite acreditările greșite). Cu ALTools descărcabile.exe, alockout.fișierul dll vine în două versiuni: una Pentru Windows 2003 și Win2K și alta pentru XP. Pentru a instala instrumentul, utilizați appinit.reg fișier registru care vine cu instrumentul. Când apare o blocare a contului după instalarea DLL, alockout.dll generează o intrare în alockout.fișier txt, care este stocat în folderul \%windir%\debug. Microsoft nu recomandă utilizarea acestui instrument pe servere care rulează servicii sau aplicații de rețea importante (de exemplu, Microsoft Exchange Server).
Aloinfo.,exe este un instrument de linie de comandă care afișează o listă a conturilor de utilizator stocate în AD și numărul de zile înainte de expirarea parolei fiecărui utilizator. Pentru a prelua aceste informații, tastați următoarea comandă în linia de comandă:
Aloinfo /expires /server:servername>
Ca în Figura 2, lockoutstatus.exe vă permite să interogați informațiile legate de blocarea contului unui anumit cont de utilizator pe diferitele DCs ale unui domeniu. Instrumentul afișează următoarele informații:
- starea atributului Bad PWD Count pe diferite DCs., Bad PWD Count atribut este un atribut obiect utilizator de anunțuri care stochează numărul de ori un utilizator a introdus o parolă rău sau greșit.
- data și ora la care a fost introdusă ultima dată o parolă greșită.
- data și ora la care a fost setată ultima dată parola.
- data și ora la care contul a fost blocat.
- numele DC care a blocat contul în câmpul „blocare inițială” (acesta este DC-ul care a scris atributul Lockouttime al contului de utilizator).
sub capotă, lockoutstatus.exe folosește nlparse.,instrument exe pentru a analiza jurnalele Netlogon pentru anumite coduri de stare return Netlogon. Apoi, puteți salva ieșirea instrumentului într-un fișier text cu valoare separată prin virgulă (CSV).