Использование Acctinfo.dll
Как известно, для управления учетными записями пользователей используется оснастка Active Directory User and Computers (ADUC), которая поддерживает улучшения, предоставляемые компанией Microsoft в виде различных библиотек и утилит. В стандартном виде окна свойств объекта Пользователь мы можем увидеть небольшую часть этих свойств. Чтобы посмотреть остальные свойства приходится пользоваться утилитами, например, ADSIEdit. В окно свойств объекта пользователя мы можем добавить вкладку, именуемую Additional Account Info.
Как видно, эта вкладка содержит некоторые сведения и опции, недоступные в стандартной оснастке. Немного остановимся на следующих свойствах, остальные понятны из их названия.
Domain PW Info. Политика паролей для выбранной учетной записи.
Информация об идентификаторах безопасности учетной записи. Если журнал SID включен, с помощью кнопки SID History можно проверить, что к учетной записи привязаны SID идентификаторы, которые появляются при миграции из одного домена в другой.
Set PW On Site DC. Опция позволяет сбросить пароль пользователя на контроллере его домена, чтобы избежать задержек репликации и предоставить быстрый доступ к своему паролю. Кнопка Just Find Site позволяет локализовать контроллер домена в сайте и сменить пароль.
Добавим описанную здесь вкладку.
1. Скачиваем набор утилит ALTools.exe. Будем считать, что пакет средств администрирования сервера уже установлен и вы имеете права локального администратора.
2. Извлекаем инструменты из исполняемого файла.
3. Копируем acctinfo.dll в папку %SYSTEMROOT%system32.
4. В окне командной строки выполняем regsvr32 acctinfo.dll. Если оснастка ADUC была открыта, закройте и откройте ее снова.
Нужно отметить, что вкладка Additional Account Info открывается только в независимой консоли ADUC и не отображается в узле ADUC Диспетчера сервера (Server Manager), если добавление проходило на Windows Server 2008.
В указанный выше набор утилит входит утилита «Microsoft Account Lockout Status» (LockoutStatus.exe). Ее можно запускать непосредственно из папки, куда была распакована, либо скопировать в %SYSTEMROOT%system32. Во втором случае, при просмотре вкладки Additional Account Info свойств пользователя мы увидим еще одну кнопку.
При нажатии на «Account Lockout Status» будет происходить запуск утилиты LockoutStatus.exe, которой в качестве параметра будет передано имя соответствующего пользователя. На заголовки в этих скриншотах внимание можно не обращать
Эта утилита умеет анализировать журналы событий на всех контроллерах домена и поможет определить когда, на каком контроллере произошла блокировка учетной записи. Прямо из этой утилиты можно разблокировать учетную запись, сбросить пароль, посмотреть логи.