У коментарях до однієї з предидущіз статей наша читачка sveta питала, чи можна повернути вкладку Additional info в консолі ADUC для домену на базі Win2008R2. Спробуємо згадати, що це за вкладка і чи можна її використовувати в останніх версіях Windows.
Багатьом адміністраторам вкладка Additional Account Info знайома ще з часів домену на базі Windows Server 2003. Нагадаємо, щоб у властивостях користувача в консолі Active Directory Users and Computers (ADUC) з'явилася вкладка Additional Account Info, потрібно було скачати Windows 2003 Resource Kit і зареєструвати в системі спеціальну бібліотеку Acctinfo.dll. Після цього при відкритті вікна властивостей будь-якого користувача AD, можна побачити нову вкладку, яка мала різну корисну для адміністратора домену інформацію, зокрема:
- Password Last Set - коли був змінений пароль користувача
- Password Expires - коли закінчується срой дії пароля
- User Account Control / Locked - статус облікового запису (активна, відключена, заблокована і т.д.)
- Last logon (logoff) - час останньої реєстрації (виходу) користувача на контролері домену
- Інформацію по лічильникам невдалих / вдалих входів в систему
- Інформацію про SID, GUID і SID History
- і т.д.
Отже, щоб додати Acctinfo.dll в консоль Active Directory Users and Computers в x64 версії Windows (Windows 7, Windows 8, Windows Server 2008 R2, Windows Server 2012) потрібно:
- Завантажити пакет Account Lockout and Management Tools з сайту Microsoft (архів від 8/22/2012, містить архіви ALTools.exe, розмірів 850 KB) і розпакувати його.
- Скопіювати файл бібліотеки acctinfo.dll в каталог C: \ Windows \ SysWOW64
- Запустити командний рядок з правами адміністратора і зареєструвати бібліотеку в системі:
regsvr32 C: \ Windows \ SysWOW64 \ acctinfo.dll
- Створити ярлик для оснащення Active Directory Users and Computer (dsa.msc), вказавши у властивостях ярлика, що потрібно запускати консоль в 32 біт:
C: \ Windows \ System32 \ dsa.msc -32
- За допомогою створеного ярлика відкрити консоль ADUC і включити відображення додаткових параметрів (View->Advanced Features)
- Залишилося відкрити властивості будь-якого користувача домену та переконається, що нова вкладка Additional Account Info з'явилася.
Можливості цієї вкладки ви можете розширити, інтегрувавши в неї окрему кнопку Account Lockout Status, що дозволяє безпосередньо з консолі ADUC запускати утиліту LockoutStatus.exe (Microsoft Account Lockout Status). Дана утиліта може аналізувати журнали контролерів домену AD і визначати на якому з контролерів домену сталася блокування облікового запису (ми згадували про цю утиліту в статті про пошук джерела блокування облікового запису користувача в домені AD).
Все що потрібно зробити - скопіювати файл lockoutstatus.exe (з того ж архіву) в каталог% systemroot% \ syswow64 \ і перезапустити консоль ADUC. На скріншоті нижче видно, що на вкладці Additional Account Info з'явилася нова кнопка Account Lockout Status, натискання на яку запускає утиліту LockoutStatus.exe, якої в якості аргументу буде передано ім'я відповідного користувача.
Примітка. Вся описана вище процедура повинна працювати і на 32-бітових версіях Windows з одного ремаркою: копіювати файли бібліотек потрібно в каталог% systemroot% \ system32 \. Але мені той варіант не тестувався, тому що таких 32 бітних ОС під рукою просто не залишилося:).Щоб видалити вкладку Additional Account Info в консолі ADUC, потрібно скасувати реєстрацію бібліотеки в системі і видалити відповідні файли:
regsvr32 / u% systemroot% \ SysWOW64 \ acctinfo.dll del% systemroot% \ SysWOW64 \ acctinfo.dll del% systemroot% \ SysWOW64 \ LockoutStatus.exe