Меню

Account lockout and management tools для windows 7

Account lockout and management tools для windows 7

Вопрос

Ответы

The links you stated can be used to download lockout management tools. In fact, they can be helpful to determine the cause of lockouts .

This script should also be helpful: http://blogs.technet.com/b/heyscriptingguy/archive/2011/08/31/use-powershell-to-find-locked-out-user-accounts.aspx

See also Paul’s article: http://blogs.dirteam.com/blogs/paulbergson/archive/2012/04/23/user-account-lockout-troubleshooting.aspx

This posting is provided «AS IS» with no warranties or guarantees , and confers no rights.

Microsoft Student Partner 2010 / 2011
Microsoft Certified Professional
Microsoft Certified Systems Administrator: Security
Microsoft Certified Systems Engineer: Security
Microsoft Certified Technology Specialist: Windows Server 2008 Active Directory, Configuration
Microsoft Certified Technology Specialist: Windows Server 2008 Network Infrastructure, Configuration
Microsoft Certified Technology Specialist: Windows Server 2008 Applications Infrastructure, Configuration
Microsoft Certified Technology Specialist: Windows 7, Configuring
Microsoft Certified Technology Specialist: Designing and Providing Volume Licensing Solutions to Large Organizations
Microsoft Certified IT Professional: Enterprise Administrator
Microsoft Certified IT Professional: Server Administrator
Microsoft Certified Trainer

Источник статьи: http://social.technet.microsoft.com/Forums/ru-RU/371ded80-9e62-408d-ab0f-ebb020af56e0/account-lockout-and-management-tools?forum=winservergen

Вкладка Additional Account Info в консоль ADUC

В комментариях к одной из предыдущиз статей наша читательница sveta спрашивала, можно ли вернуть вкладку Additional info в консоли ADUC для домена на базе Win2008R2. Попробуем вспомнить, что это за вкладка и можно ли ее использовать в последних версиях Windows.

Многим администраторам вкладка Additional Account Info знакома еще со времен домена на базе Windows Server 2003. Напомним, чтобы в свойствах пользователя в консоли Active Directory Users and Computers (ADUC) появилась вкладка Additional Account Info, нужно было скачать Windows 2003 Resource Kit и зарегистрировать в системе специальную библиотеку Acctinfo.dll. После этого при открытии окна свойств любого пользователя AD, можно увидеть новую вкладку, содержавшей различную полезную для администратора домена информацию, в частности:

  • Password Last Set — когда был изменен пароль пользователя
  • Password Expires – когда истекает срой действия пароля пользователя
  • User Account Control / Locked – статус учетной записи (активна, отключена, заблокирована и т.д.)
  • Last logon (logoff) — время последней регистрации (выхода) пользователя на контроллере домена
  • Информацию по счетчикам неудачных/удачных входов в систему
  • Информацию о SID, GUID и SID History
  • и т.д.

Итак, чтобы добавить Acctinfo.dll в консоль Active Directory Users and Computers в x64 версии Windows (Windows 7, Windows 8, Windows Server 2008 R2, Windows Server 2012) нужно:

  1. Скачать пакет Account Lockout and Management Tools с сайта Microsoft (архив от 8/22/2012, содержит самораспаковывающий архив ALTools.exe, размеров 850 KB) и распаковать его.
  2. Скопировать файл библиотеки acctinfo.dll в каталог C:\Windows\SysWOW64
  3. Запустить командную строку с правами администратора и зарегистрировать библиотеку в системе:


Создать ярлык для оснастки Active Directory Users and Computer (dsa.msc), указав в свойствах ярлыка, что нужно запускать консоль в 32 битном режиме:

  • С помощью созданного ярлыка открыть консоль ADUC и включить отображение дополнительных параметров (View->Advanced Features)
  • Осталось открыть свойства любого пользователя домена и убедится, что новая вкладка Additional Account Info появилась.
  • Возможности этой вкладки также можно расширить, интегрировав в нее отдельную кнопку Account Lockout Status, позволяющей непосредственно из консоли ADUC запускать утилиту LockoutStatus.exe (Microsoft Account Lockout Status). Данная утилита может анализировать журналы контроллеров домена AD и определять на каком из контроллеров домена произошла блокировка учетной записи (мы вспоминали про эту утилиту в статье про поиск источника блокировки учётной записи пользователя в домене AD).

    Все что нужно сделать – скопировать файл lockoutstatus.exe (из того же архива) в каталог %systemroot%\syswow64\ и перезапустить консоль ADUC. На скриншоте ниже видно, что на вкладке Additional Account Info появилась новая кнопка Account Lockout Status, нажатие на которую запускает утилиту LockoutStatus.exe, которой в качестве аргумента будет передано имя соответствующего пользователя.

    Чтобы удалить вкладку Additional Account Info в консоли ADUC, нужно отменить регистрацию библиотеки в системе и удалить соответствующие файлы:

    Источник статьи: http://winitpro.ru/index.php/2014/05/21/vkladka-additional-account-info-v-konsol-aduc/

    Поиск источника блокировки пользователя в Active Ditectory

    Необходимые исходные условия.

    Да, чудес не бывает, и для поиска причины блокировки пользователей потребуется некоторая настройка аудита безопасности на контроллерах домена. Должны быть включены следующие подкатегории аудита на контроллерах домена:

    Категория аудита Подкатегория аудита Тип аудита Интересующий нас eventID
    Audit Account Logon Events (Вход учётной записи) Kerberos Authentication Service (Аудит службы проверки подлинности Kerberos) Отказ 4771 Kerberos pre-authentication failed.
    Audit Logon Events (Вход/Выход) Logon (Аудит входа в систему) Отказ 4625 An account failed to log on.
    Audit Logon Events (Вход/Выход) Account Lockout (Аудит блокировки учётных записей) Успех 4740 Account locked
    Алгоритм поиска источника блокировки
    1. Определить какой контроллер является владельцем роли PDC-эмулятора
    2. Найти в журнале безопасности PDC-эмулятора событие с кодом 4740 в поле «TargetUserName», которого указано имя интересующего нас пользователя
    3. В поле «TargetDomainName» того же события найти имя контроллера домена, обслужившего авторизацию
    4. Найти в журнале безопасности контроллера, обслужившего авторизацию, событие с кодом 4625 (неуспешная NTLM авторизация) или 4771 (неуспешная kerberos авторизация)
    5. Из найденного события получить значения полей «IpAddress» — адрес ПК с которого была попытка авторизации

    Этих действий будет достаточно для быстрого поиска ПК с вредоносным ПО, подбирающим пароли пользователей. Как правило достаточно быстро вычислить источник проблемы и изолировать его для дальнейшего расследования. Алгоритм поиска процесса непосредственно вызывающего блокировку пользователя сильно зависит от ПО, установленного на конечном ПК.

    Используемые командлеты PowerShell
    • Get-ADDomainController — для определения владельца роли PDC-эмулятора
    • Get-WinEvent — «волшебный» командлет, благодаря которому и стал возможным быстрый поиск

    В чём «магия» Get-WinEvent?
    Во-первых он ищет события с конца и имеет параметр -MaxEvents, позволяющий найти только самое последнее событие или неколько самых последних событий.
    Во-вторых он имеет прекрасный параметр -FilterHashtable, который позволяет очень гибко задать условия поиска события.

    Скрипт поиска

    Для себя я подготовил небольшой PowerShell скрипт.
    На входе скрипт принимает либо имя пользователя, для которого необходимо найти источник блокировки, либо количество (по умолчанию — 1) последних заблокированных пользователей.

    Источник статьи: http://habr.com/ru/post/171701/

    Account lockout and management tools для windows 7

    The following forum(s) have migrated to Microsoft Q&A: All English Windows Server forums!
    Visit Microsoft Q&A to post new questions.

    Answered by:

    Question

    Does anyone know where I can download the AD Account Lockout and management tools?

    I searched Microsoft’s website but all the links to the download page seem to be dead.

    Answers

    Account lockout tool wont work with windows server 2008 R2 . You have some other method for this os.

    You should follow below link to understand this better.

    MCSA|MCITP SA|Microsoft Exchange 2003 Blog — http://prashant1987.wordpress.com Disclaimer: This posting is provided AS-IS with no warranties/guarantees and confers no rights.

    All replies

    you are right, it is hard to find.

    It is also part of the resource kit and you can download it here http://www.microsoft.com/en-us/download/details.aspx?id=17657

    Thanks LutzMH, that’s the Windows Server 2003 resource kit.

    We have a Windows server 2008 R2 and Windows 7 environment.

    I’m particularly after the file acctinfo.dll file which I believe is part of the Account Lockout and Management tools. This is not in the 2003 Resource Kit.

    Account lockout tool wont work with windows server 2008 R2 . You have some other method for this os.

    You should follow below link to understand this better.

    MCSA|MCITP SA|Microsoft Exchange 2003 Blog — http://prashant1987.wordpress.com Disclaimer: This posting is provided AS-IS with no warranties/guarantees and confers no rights.

    a other way to do this is to sending Account Lockout Notifications via Mail.

    This posting is provided ‘AS IS’ with no warranties or guarantees and confers no rights.

    «If this thread answered your question, please click on «Mark as Answer»

    The following thread mentioned some tool and articles for account lockout management and troubleshooting in Windows Server 2008 R2, check if it helps:

    Thanks LutzMH, that’s the Windows Server 2003 resource kit.

    We have a Windows server 2008 R2 and Windows 7 environment.

    I’m particularly after the file acctinfo.dll file which I believe is part of the Account Lockout and Management tools. This is not in the 2003 Resource Kit.

    You don’t need acctinfo2.dll because it was never released for windows 2008 R2 at all. If you download from the websites, it might be a virus or worm programmed to destabilized your environment. Take a look at the link posted by Prashant. I’m re-quoting his link again. Officially, there is no release of Acctinfo2.dll tool for the windows 2008 R2 or Win7.

    You probably don’t need ACCTINFO2.DLL

    Disclaimer This posting is provided AS-IS with no warranties/guarantees and confers no rights.

    Источник статьи: http://social.technet.microsoft.com/Forums/windows/en-US/1ed704b5-694e-467c-aa13-96b8f5749eaa/where-to-download-the-account-lockout-and-management-tools?forum=winserverDS


    Adblock
    detector