Bietet oder plant Microsoft spezielle Tools zur Fehlerbehebung bei Kontosperrungen in Windows 2000-und späteren Domänenumgebungen?
Von seinen frühen Versionen hat Windows mit einer Sicherheitsfunktion als Account Lockout bekannt ausgeliefert, die vor Konto-Spoofing und Hijacking schützt. Die Kontosperrung stellt sicher, dass Benutzerkonten automatisch nicht mehr verfügbar sind, wenn sich ein Benutzer nach Eingabe einer festgelegten Anzahl fehlerhafter Kennwörter nicht mehr anmeldet., Der Administrator verwendet die Kontosperrungssicherheitsrichtlinie einer Windows-Domäne, um den Schwellenwert für fehlerhafte Kennwörter zu definieren. In großen Netzwerkumgebungen mit mehreren Domänencontrollern (DCs) können Kontosperrungen unglaublich schwer zu beheben sein, da auf jedem DC eine Kontosperrung auftreten kann und die Verwendung der nativen Windows-Verwaltungstools, um herauszufinden, wo die Kontosperrung stattgefunden hat, bestenfalls schwierig ist.
Mit der Einführung von Windows Server 2003 hat Microsoft seinem Management–Tool-Portfolio einige interessante neue Tools zur Kontosperrung hinzugefügt., Sie können die Tools verwenden, um Windows 2003-und Win2K-Kontosperrungen zu beheben. Einige dieser Tools funktionieren auch mit Windows XP. Microsoft stellt einige dieser Tools als Teil des Microsoft Windows Server 2003 Resource Kit zur Verfügung. Alle Tools sind auch in einem kostenlosen herunterladbaren Softwarepaket auf der Microsoft – Website verfügbar. Tabelle 1 gibt einen Überblick über diese Werkzeuge.
Die acctinfo.die DLL-Datei fügt den Eigenschaften eines Active Directory-Benutzerkontos (AD) eine neue Registerkarte mit zusätzlichen Kontoinformationen hinzu, wie Abbildung 1 zeigt. Auf der neuen Registerkarte werden verschiedene Arten von Informationen zur Kontoanmeldung angezeigt., Ein interessantes Merkmal des Tools ist die Möglichkeit, das Kennwort eines Benutzers für einen bestimmten DC in der Domäne zurückzusetzen. Um ein solches Passwort zurückzusetzen, klicken Sie auf Set PW On Site DC am unteren Rand der Registerkarte. Um die Registerkarte zu den Eigenschaften Ihres Anzeigenkontos hinzuzufügen, registrieren Sie acctinfo.dll auf jedem Computer, von dem aus Sie die Microsoft Management Console (MMC) Active Directory-Benutzer und Computer-Snap-In verwenden. Verwenden Sie den regsvr32, um eine DLL in Windows zu registrieren.exe Kommandozeilen-Tool.
Das Alockout.dll-Tools helfen dabei, das Programm oder den Dienst zu identifizieren, der eine Kontosperrung verursacht (dh,, die Entität, die die falschen Anmeldeinformationen sendet). Mit den herunterladbaren Altools.exe, das alockout.dll-Datei kommt in zwei Versionen: eine für Windows 2003 und Win2K und eine andere für XP. Um das tool zu installieren, verwenden Sie die appinit.reg Registry-Datei, die mit dem Tool kommt. Wenn eine Kontosperre auftritt, nachdem Sie die DLL installieren, alockout.dll generiert einen Eintrag im alockout.txt-Datei, die im Ordner \%windir%\debug gespeichert ist. Microsoft empfiehlt die Verwendung dieses Tools nicht auf Servern, auf denen wichtige Netzwerkdienste oder-anwendungen ausgeführt werden (z. B. Microsoft Exchange Server).
Aloinfo.,exe ist ein Befehlszeilentool, das eine Liste der in AD gespeicherten Benutzerkonten und die Anzahl der Tage vor Ablauf des Kennworts jedes Benutzers anzeigt. Um diese Informationen abzurufen, geben Sie den folgenden Befehl in die Befehlszeile ein:
Aloinfo /expires /server:servername>
Wie Abbildung 2 zeigt, lockoutstatus.exe können Sie für die Kontosperre bezogenen Informationen eines bestimmten Benutzerkontos auf den verschiedenen DCs einer Domäne abfragen. Das Tool zeigt die folgenden Informationen an:
- Der Status des Attributs Bad Pwd Count für verschiedene DCs., Das Attribut Bad Pwd Count ist ein AD-User-Objektattribut, in dem gespeichert wird, wie oft ein Benutzer ein fehlerhaftes oder falsches Kennwort eingegeben hat.
- Datum und Uhrzeit der letzten Eingabe eines fehlerhaften Passworts.
- Datum und Uhrzeit der letzten Passworteinstellung.
- Datum und Uhrzeit der Sperrung des Kontos.
- Der Name des DC, der das Konto gesperrt hat, im Feld „Ursprüngliche Sperre“ (dies ist der DC, der in das Lockouttime-Attribut des Benutzerkontos geschrieben wurde).
Unter der Haube, lockoutstatus.exe verwendet die nlparse.,exe-Tool zum Analysieren der Netlogon-Protokolle für bestimmte Netlogon-Rückgabestatus-Codes. Anschließend können Sie die Ausgabe des Tools in einer CSV-Textdatei (Comma Separated Value) speichern.