tillhandahåller eller planerar Microsoft att tillhandahålla specialverktyg för att felsöka kontolåsningar i Windows 2000 och senare domänmiljöer?
från dess tidiga versioner har Windows levererat med en säkerhetsfunktion som kallas kontolåsning som skyddar mot kontoförfalskning och kapning. Konto lockout försäkrar att användarkonton automatiskt blir otillgängliga när en användare inte loggar in efter att ha angett ett visst antal dåliga lösenord., Administratören använder en Windows-domän konto lockout säkerhetspolicy för att definiera den dåliga lösenordsgränsen. I stora nätverksmiljöer med flera domänkontrollanter (DCs) kan kontolåsningar vara otroligt svåra att felsöka eftersom en kontolåsning kan uppstå på varje DC, och med hjälp av de inbyggda Windows-hanteringsverktygen för att upptäcka var kontolåsningen ägde rum är det svårt i bästa fall.
med införandet av Windows Server 2003, Microsoft lagt till några intressanta nya konto lockout–relaterade verktyg till sin management-verktygsportfölj., Du kan använda verktygen för att ta itu med Windows 2003 och Win2K konto lockouts. Några av dessa verktyg fungerar också med Windows XP. Microsoft tillhandahåller några av dessa verktyg som en del av Microsoft Windows Server 2003 Resource Kit. Alla verktyg finns också i ett gratis nedladdningsbart programpaket på Microsofts webbplats. Tabell 1 ger en översikt över dessa verktyg.
acctinfo.dll-filen lägger till en ny ytterligare fliken kontoinformation till ett Active Directory (AD) användarkontots egenskaper, som Figur 1 visar. Den nya fliken presenterar olika typer av konto inloggningsrelaterad information., En intressant egenskap hos verktyget är dess förmåga att återställa en användares lösenord på en specifik DC i domänen. För att återställa ett sådant lösenord, klicka på Set PW på plats DC längst ner på fliken. Om du vill lägga till fliken i dina ANNONSKONTOEGENSKAPER registrerar du acctinfo.dll på varje maskin som du använder Microsoft Management Console (MMC) Active Directory-användare och datorer snapin-modulen. För att registrera en DLL i Windows, använd regsvr32.exe kommandoradsverktyg.
alockout.dll tools hjälper till att identifiera programmet eller tjänsten som orsakar en kontolåsning (dvs., den enhet som skickar fel referenser). Med nedladdningsbara altools.exe, alockout.dll-filen finns i två versioner: en för Windows 2003 och Win2K och en annan för XP. För att installera verktyget, Använd appinit.reg registerfilen som medföljer verktyget. När ett konto lockout inträffar när du har installerat DLL, alockout.dll genererar en post i alockout.txt-fil, som lagras i mappen\%windir % \ debug. Microsoft rekommenderar inte att du använder det här verktyget på servrar som kör viktiga nätverkstjänster eller applikationer (t.ex. Microsoft Exchange Server).
Aloinfo.,exe är ett kommandoradsverktyg som visar en lista över användarkonton som lagras i annonsen och antalet dagar innan varje användares lösenord löper ut. För att hämta denna information, Skriv följande kommando på kommandoraden:
Aloinfo /expires /server:servername>
som Figur 2 visar, lockoutstatus.exe kan du fråga efter konto lockout-relaterad information för ett visst användarkonto på de olika DCs av en domän. Verktyget visar följande information:
- status för attributet Bad PWD Count på olika DCs., Attributet Bad PWD Count är ett attribut för AD user object som lagrar antalet gånger en användare angett ett dåligt eller fel lösenord.
- datum och tid ett dåligt lösenord senast angavs.
- datum och tid lösenordet var senast inställt.
- datum och tid kontot var låst.
- namnet på DC som låste kontot i fältet ”ursprungslås” (det här är DC som skrev till attributet Lockouttime för användarkontot).
under huven, lockoutstatus.exe använder nlparse.,exe verktyg för att tolka Netlogon loggar för specifika Netlogon retur statuskoder. Du kan sedan spara verktygets utdata till en kommaseparerad textfil (CSV).