Вкладка Additional Account Info в консоль ADUC

У коментарях до однієї з предидущіз статей наша читачка sveta питала, чи можна повернути вкладку Additional info в консолі ADUC для домену на базі Win2008R2. Спробуємо згадати, що це за вкладка і чи можна її використовувати в останніх версіях Windows.

Багатьом адміністраторам вкладка Additional Account Info знайома ще з часів домену на базі Windows Server 2003. Нагадаємо, щоб у властивостях користувача в консолі Active Directory Users and Computers (ADUC) з'явилася вкладка Additional Account Info, потрібно було скачати Windows 2003 Resource Kit і зареєструвати в системі спеціальну бібліотеку Acctinfo.dll. Після цього при відкритті вікна властивостей будь-якого користувача AD, можна побачити нову вкладку, яка мала різну корисну для адміністратора домену інформацію, зокрема:

• Password Last Set - коли був змінений пароль користувача
• Password Expires - коли закінчується срой дії пароля
• User Account Control / Locked - статус облікового запису (активна, відключена, заблокована і т.д.)
• Last logon (logoff) - час останньої реєстрації (виходу) користувача на контролері домену
• Інформацію по лічильникам невдалих / вдалих входів в систему
• Інформацію про SID, GUID і SID History
• і т.д.

Порада. В общем-то всю цю інформацію можна отримати за допомогою консолі ADSIEdit або на вкладці Attribute Editor у властивостях користувача (з'явилася у версії ADUC для Windows 7), але інформація представлена ​​на вкладці Additional Account Info повніша, інформативна і зручна для аналізу.

Отже, щоб додати Acctinfo.dll в консоль Active Directory Users and Computers в x64 версії Windows (Windows 7, Windows 8, Windows Server 2008 R2, Windows Server 2012) потрібно:

1. Завантажити пакет Account Lockout and Management Tools з сайту Microsoft (архів від 8/22/2012, містить архіви ALTools.exe, розмірів 850 KB) і розпакувати його.
2. Скопіювати файл бібліотеки acctinfo.dll в каталог C: \ Windows \ SysWOW64
3. Запустити командний рядок з правами адміністратора і зареєструвати бібліотеку в системі:

   regsvr32 C: \ Windows \ SysWOW64 \ acctinfo.dll

   

4. Створити ярлик для оснащення Active Directory Users and Computer (dsa.msc), вказавши у властивостях ярлика, що потрібно запускати консоль в 32 біт:

   C: \ Windows \ System32 \ dsa.msc -32

   

5. За допомогою створеного ярлика відкрити консоль ADUC і включити відображення додаткових параметрів (View->Advanced Features)
6. Залишилося відкрити властивості будь-якого користувача домену та переконається, що нова вкладка Additional Account Info з'явилася.

Можливості цієї вкладки ви можете розширити, інтегрувавши в неї окрему кнопку Account Lockout Status, що дозволяє безпосередньо з консолі ADUC запускати утиліту LockoutStatus.exe (Microsoft Account Lockout Status). Дана утиліта може аналізувати журнали контролерів домену AD і визначати на якому з контролерів домену сталася блокування облікового запису (ми згадували про цю утиліту в статті про пошук джерела блокування облікового запису користувача в домені AD).

Все що потрібно зробити - скопіювати файл lockoutstatus.exe (з того ж архіву) в каталог% systemroot% \ syswow64 \ і перезапустити консоль ADUC. На скріншоті нижче видно, що на вкладці Additional Account Info з'явилася нова кнопка Account Lockout Status, натискання на яку запускає утиліту LockoutStatus.exe, якої в якості аргументу буде передано ім'я відповідного користувача.

Примітка.  Вся описана вище процедура повинна працювати і на 32-бітових версіях Windows з одного ремаркою: копіювати файли бібліотек потрібно в каталог% systemroot% \ system32 \. Але мені той варіант не тестувався, тому що таких 32 бітних ОС під рукою просто не залишилося:).

Щоб видалити вкладку Additional Account Info в консолі ADUC, потрібно скасувати реєстрацію бібліотеки в системі і видалити відповідні файли:

regsvr32 / u% systemroot% \ SysWOW64 \ acctinfo.dll del% systemroot% \ SysWOW64 \ acctinfo.dll del% systemroot% \ SysWOW64 \ LockoutStatus.exe