Вкладка Additional Account Info в консоль ADUC

В комментариях к одной из предыдущиз статей наша читательница sveta спрашивала , можно ли вернуть вкладку Additional info в консоли ADUC для домена на базе Win2008R2. Попробуем вспомнить, что это за вкладка и можно ли ее использовать в последних версиях Windows.

Многим администраторам вкладка Additional Account Info знакома еще со времен домена на базе Windows Server 2003. Напомним, чтобы в свойствах пользователя в консоли Active Directory Users and Computers (ADUC) появилась вкладка Additional Account Info, нужно было скачать Windows 2003 Resource Kit и зарегистрировать в системе специальную библиотеку Acctinfo.dll . После этого при открытии окна свойств любого пользователя AD, можно увидеть новую вкладку, содержавшей различную полезную для администратора домена информацию, в частности:

  • Password Last Set — когда был изменен пароль пользователя
  • Password Expires – когда истекает срой действия пароля пользователя
  • User Account Control / Locked – статус учетной записи (активна, отключена, заблокирована и т.д.)
  • Last logon (logoff) — время последней регистрации (выхода) пользователя на контроллере домена
  • Информацию по счетчикам неудачных/удачных входов в систему
  • Информацию о SID, GUID и SID History
  • и т.д.

Вкладка Additional-Account-Info в консоли ADUC

Совет . В общем-то всю эту информацию можно получить с помощью консоли ADSIEdit или на вкладке Attribute Editor в свойствах пользователя (появилась в версии ADUC для Windows 7), но информация представленная на вкладке Additional Account Info более полная, информативна и удобна для анализа.

Итак, чтобы добавить Acctinfo.dll в консоль Active Directory Users and Computers в x64 версии Windows (Windows 7, Windows 8, Windows Server 2008 R2, Windows Server 2012) нужно:

  1. Скачать пакет Account Lockout and Management Tools с сайта Microsoft (архив от 8/22/2012, содержит самораспаковывающий архив ALTools.exe, размеров 850 KB) и распаковать его.
  2. Скопировать файл библиотеки acctinfo.dll в каталог C:WindowsSysWOW64 копируем acctinfo.dll в каталог C:WindowsSysWOW64
  3. Запустить командную строку с правами администратора и зарегистрировать библиотеку в системе:
    regsvr32 C:WindowsSysWOW64acctinfo.dll

    regsvr32 C:WindowsSysWOW64acctinfo.dll

  4. Создать ярлык для оснастки Active Directory Users and Computer (dsa.msc), указав в свойствах ярлыка, что нужно запускать консоль в 32 битном режиме:
    C:WindowsSystem32dsa.msc -32

    C:WindowsSystem32dsa.msc -32

  5. С помощью созданного ярлыка открыть консоль ADUC и включить отображение дополнительных параметров ( View -> Advanced Features ) Расширенные параметры в консоли ADUC
  6. Осталось открыть свойства любого пользователя домена и убедится, что новая вкладка Additional Account Info появилась. Вкладка с расширенной ифномацией об учтеной записи пользвателя в консоли ADUC

Возможности этой вкладки также можно расширить, интегрировав в нее отдельную кнопку Account Lockout Status , позволяющей непосредственно из консоли ADUC запускать утилиту LockoutStatus.exe (Microsoft Account Lockout Status). Данная утилита может анализировать журналы контроллеров домена AD и определять на каком из контроллеров домена произошла блокировка учетной записи (мы вспоминали про эту утилиту в статье про поиск источника блокировки учётной записи пользователя в домене AD ).

Все что нужно сделать – скопировать файл lockoutstatus.exe (из того же архива) в каталог %systemroot%syswow64 и перезапустить консоль ADUC. На скриншоте ниже видно, что на вкладке Additional Account Info появилась новая кнопка Account Lockout Status , нажатие на которую запускает утилиту LockoutStatus.exe, которой в качестве аргумента будет передано имя соответствующего пользователя.

Запуск утилиты для сбора информации о блокировке учетки пользователя - LockoutStatus.exe

Примечание . Вся описанная выше процедура должна работать и на 32-битных версиях Windows с одной ремаркой: копировать файлы библиотек нужно в каталог %systemroot%system32. Но мною этот вариант не тестировался, т.к. таких 32 битных ОС под рукой просто не осталось : ).

Чтобы удалить вкладку Additional Account Info в консоли ADUC, нужно отменить регистрацию библиотеки в системе и удалить соответствующие файлы:

regsvr32 /u %systemroot%SysWOW64acctinfo.dll_x000D__x000D_del %systemroot%SysWOW64acctinfo.dll_x000D_ del %systemroot%SysWOW64LockoutStatus.exe
EnglishRussianUkrainian