Заметки сисадмина о интересных вещах из мира IT, инструкции и рецензии. Настраиваем Компьютеры/Сервера/1С/SIP-телефонию в Москве

Использование Acctinfo.dll

2011-08-14 · Posted in Active Directory, Windows Server 2003

Как известно, для управления учетными записями пользователей используется оснастка Active Directory User and Computers (ADUC), которая поддерживает улучшения, предоставляемые компанией Microsoft в виде различных библиотек и утилит. В стандартном виде окна свойств объекта Пользователь мы можем увидеть небольшую часть этих свойств. Чтобы посмотреть остальные свойства приходится пользоваться утилитами, например, ADSIEdit. В окно свойств объекта пользователя мы можем добавить вкладку, именуемую Additional Account Info.

Как видно, эта вкладка содержит некоторые сведения и опции, недоступные в стандартной оснастке.  Немного остановимся на следующих свойствах, остальные понятны из их названия.

  • Domain PW Info. Политика паролей для выбранной учетной записи.

  • Информация об идентификаторах безопасности учетной записи. Если журнал SID включен, с помощью кнопки SID History можно проверить, что к учетной записи привязаны SID идентификаторы, которые появляются при миграции из одного домена в другой.
  • Set PW On Site DC. Опция позволяет сбросить пароль пользователя на контроллере его домена, чтобы избежать задержек репликации и предоставить быстрый доступ к своему паролю. Кнопка Just Find Site позволяет локализовать контроллер домена в сайте и сменить пароль.

Добавим описанную здесь вкладку.

1. Скачиваем набор утилит ALTools.exe. Будем считать, что пакет средств администрирования сервера уже установлен и вы имеете права локального администратора.

2. Извлекаем инструменты из исполняемого файла.

3. Копируем acctinfo.dll в папку %SYSTEMROOT%system32.

4. В окне командной строки выполняем regsvr32 acctinfo.dll. Если оснастка ADUC была открыта, закройте и откройте ее снова.

Нужно отметить, что вкладка Additional Account Info открывается только в независимой консоли ADUC и не отображается в узле ADUC Диспетчера сервера (Server Manager), если добавление проходило на Windows Server 2008.

В указанный выше набор утилит входит утилита «Microsoft Account Lockout Status» (LockoutStatus.exe). Ее можно запускать непосредственно из папки, куда была распакована, либо скопировать в %SYSTEMROOT%system32. Во втором случае, при просмотре вкладки Additional Account Info свойств пользователя мы увидим еще одну кнопку.

При нажатии на «Account Lockout Status» будет происходить запуск утилиты LockoutStatus.exe, которой в качестве параметра будет передано имя соответствующего пользователя. На заголовки в этих скриншотах внимание можно не обращать ;)

Эта утилита умеет анализировать журналы событий на всех контроллерах домена и поможет определить когда, на каком контроллере произошла блокировка учетной записи. Прямо из этой утилиты можно разблокировать учетную запись, сбросить пароль, посмотреть логи.

Leave a Reply