Вкладка Additional Account Info в консоль ADUC
В комментариях к одной из предыдущиз статей наша читательница sveta спрашивала, можно ли вернуть вкладку Additional info в консоли ADUC для домена на базе Win2008R2. Попробуем вспомнить, что это за вкладка и можно ли ее использовать в последних версиях Windows.
Многим администраторам вкладка Additional Account Info знакома еще со времен домена на базе Windows Server 2003. Напомним, чтобы в свойствах пользователя в консоли Active Directory Users and Computers (ADUC) появилась вкладка Additional Account Info, нужно было скачать Windows 2003 Resource Kit и зарегистрировать в системе специальную библиотеку Acctinfo.dll. После этого при открытии окна свойств любого пользователя AD, можно увидеть новую вкладку, содержавшей различную полезную для администратора домена информацию, в частности:
- Password Last Set — когда был изменен пароль пользователя
- Password Expires – когда истекает срой действия пароля пользователя
- User Account Control / Locked – статус учетной записи (активна, отключена, заблокирована и т.д.)
- Last logon (logoff) — время последней регистрации (выхода) пользователя на контроллере домена
- Информацию по счетчикам неудачных/удачных входов в систему
- Информацию о SID, GUID и SID History
- и т.д.
Совет. В общем-то всю эту информацию можно получить с помощью консоли ADSIEdit или на вкладке Attribute Editor в свойствах пользователя (появилась в версии ADUC для Windows 7), но информация представленная на вкладке Additional Account Info более полная, информативна и удобна для анализа.
Итак, чтобы добавить Acctinfo.dll в консоль Active Directory Users and Computers в x64 версии Windows (Windows 7, Windows 8, Windows Server 2008 R2, Windows Server 2012) нужно:
- Скачать пакет Account Lockout and Management Tools с сайта Microsoft (архив от 8/22/2012, содержит самораспаковывающий архив ALTools.exe, размеров 850 KB) и распаковать его.
- Скопировать файл библиотеки acctinfo.dll в каталог C:WindowsSysWOW64
- Запустить командную строку с правами администратора и зарегистрировать библиотеку в системе:
regsvr32 C:WindowsSysWOW64acctinfo.dll
- Создать ярлык для оснастки Active Directory Users and Computer (dsa.msc), указав в свойствах ярлыка, что нужно запускать консоль в 32 битном режиме:
C:WindowsSystem32dsa.msc -32
- С помощью созданного ярлыка открыть консоль ADUC и включить отображение дополнительных параметров (View->Advanced Features)
- Осталось открыть свойства любого пользователя домена и убедится, что новая вкладка Additional Account Info появилась.
Возможности этой вкладки также можно расширить, интегрировав в нее отдельную кнопку Account Lockout Status, позволяющей непосредственно из консоли ADUC запускать утилиту LockoutStatus.exe (Microsoft Account Lockout Status). Данная утилита может анализировать журналы контроллеров домена AD и определять на каком из контроллеров домена произошла блокировка учетной записи (мы вспоминали про эту утилиту в статье про поиск источника блокировки учётной записи пользователя в домене AD).
Все что нужно сделать – скопировать файл lockoutstatus.exe (из того же архива) в каталог %systemroot%syswow64 и перезапустить консоль ADUC. На скриншоте ниже видно, что на вкладке Additional Account Info появилась новая кнопка Account Lockout Status, нажатие на которую запускает утилиту LockoutStatus.exe, которой в качестве аргумента будет передано имя соответствующего пользователя.
Примечание. Вся описанная выше процедура должна работать и на 32-битных версиях Windows с одной ремаркой: копировать файлы библиотек нужно в каталог %systemroot%system32. Но мною этот вариант не тестировался, т.к. таких 32 битных ОС под рукой просто не осталось : ).
Чтобы удалить вкладку Additional Account Info в консоли ADUC, нужно отменить регистрацию библиотеки в системе и удалить соответствующие файлы:
regsvr32 /u %systemroot%SysWOW64acctinfo.dll
del %systemroot%SysWOW64acctinfo.dll
del %systemroot%SysWOW64LockoutStatus.exe
Qiziqarli malumotlar
Вкладка Additional Account Info в консоль ADUC