02 maja 2011

Informacje o blokowaniu kont w AD

Pry okazji jednego z projektów wróciłem trochę (od strony admina a nie wdrożeniowca) do zagadnień zarządzania dużą ilością kont użytkowników domenowych, sprawdzania ich statusu i odblokowywania tych kont. Tak jak statystyki dotyczące wygasania haseł i modyfikacji hasła można oskryptować w PowerShellu lub VBscripcie i zrobić sobie ładne zestawienia, to jednak bardzo przydaje się zestaw gotowych narzędzi. Ale jakich?

Dla Windows 2003 można pobrać ze strony Microsoftu pakiet Account Lockout and Management Tools oraz dodatkowo aplikacja Lockout Status, która pozwala w dużej sieci sprawdzić, na którym kontrolerze domeny użytkownik zablokował sobie konto. Podstawowy komponent powyższego pakietu to biblioteka AcctInfo.dll, która dodaje do konsoli Active Directory Users and Computers kolejną zakładkę, pokazującą informacje o statusie konta, kiedy użytkownik się logował, kiedy zmieniał hasło, etc. Niestety, nie można jej zarejestrować na platformie 64 bitowej, co w zasadzie uniemożliwa jej stosowanie na platformie Windows 2008 i 2008 R2. Na szczęście powstała wersja 2 tej biblioteki, niestety niedostępna do pobrania na stronach Microsoftu w normalny sposób (jest udostępniana przez PSS tylko klientom korporacyjnym). Można jednak znaleźć ją w kilku miejscach w sieci – np. na serwisie activedir.org, który ma dla mnie wystarczającą wiarygodność.

 http://www.activedir.org/ACCTINFO2_64BIT.zip

Razem z biblioteką acctinfo2.dll w pliku znajdziemy dokument z opisem instalacii, który niestety nie polega wyłącznie na zarejestrowaniu biblioteki w systemie, ale również wymaga modyfikacji ustawień display identifiera w partycji konfiguracyjnej Active Directory (na szczęście procedura jest dobrze opisana w przewodniku instalacji). Po zakończeniu instalacji i uruchomieniu konsoli ADUC pokaze nam się dodatkowa zakładka, jak na poniższym rysunku:

image

Oczywiście, możemy uznać, że wystarczy nam zakładka “atribute editor”, dostępna w systemach Windows 2008/2008R2, ale przedstawione tam informacje nie są tak przejrzyście uporządkowane, co wymaga większej uwagi i wiedzy od administratora.

image

1 komentarz:

wojcieh pisze...

Bardzo ciekawy i wartościowy wpis. Dzięki!