В комментариях к одной из предыдущиз статей наша читательница sveta спрашивала , можно ли вернуть вкладку Additional info в консоли ADUC для домена на базе Win2008R2. Попробуем вспомнить, что это за вкладка и можно ли ее использовать в последних версиях Windows.
Многим администраторам вкладка Additional Account Info знакома еще со времен домена на базе Windows Server 2003. Напомним, чтобы в свойствах пользователя в консоли Active Directory Users and Computers (ADUC) появилась вкладка Additional Account Info, нужно было скачать Windows 2003 Resource Kit и зарегистрировать в системе специальную библиотеку Acctinfo.dll . После этого при открытии окна свойств любого пользователя AD, можно увидеть новую вкладку, содержавшей различную полезную для администратора домена информацию, в частности:
- Password Last Set — когда был изменен пароль пользователя
- Password Expires – когда истекает срой действия пароля пользователя
- User Account Control / Locked – статус учетной записи (активна, отключена, заблокирована и т.д.)
- Last logon (logoff) — время последней регистрации (выхода) пользователя на контроллере домена
- Информацию по счетчикам неудачных/удачных входов в систему
- Информацию о SID, GUID и SID History
- и т.д.
Итак, чтобы добавить Acctinfo.dll в консоль Active Directory Users and Computers в x64 версии Windows (Windows 7, Windows 8, Windows Server 2008 R2, Windows Server 2012) нужно:
- Скачать пакет Account Lockout and Management Tools с сайта Microsoft (архив от 8/22/2012, содержит самораспаковывающий архив ALTools.exe, размеров 850 KB) и распаковать его.
- Скопировать файл библиотеки acctinfo.dll в каталог C:WindowsSysWOW64
- Запустить командную строку с правами администратора и зарегистрировать библиотеку в системе:
regsvr32 C:WindowsSysWOW64acctinfo.dll
- Создать ярлык для оснастки Active Directory Users and Computer (dsa.msc), указав в свойствах ярлыка, что нужно запускать консоль в 32 битном режиме:
C:WindowsSystem32dsa.msc -32
- С помощью созданного ярлыка открыть консоль ADUC и включить отображение дополнительных параметров ( View -> Advanced Features )
- Осталось открыть свойства любого пользователя домена и убедится, что новая вкладка Additional Account Info появилась.
Возможности этой вкладки также можно расширить, интегрировав в нее отдельную кнопку Account Lockout Status , позволяющей непосредственно из консоли ADUC запускать утилиту LockoutStatus.exe (Microsoft Account Lockout Status). Данная утилита может анализировать журналы контроллеров домена AD и определять на каком из контроллеров домена произошла блокировка учетной записи (мы вспоминали про эту утилиту в статье про поиск источника блокировки учётной записи пользователя в домене AD ).
Все что нужно сделать – скопировать файл lockoutstatus.exe (из того же архива) в каталог %systemroot%syswow64 и перезапустить консоль ADUC. На скриншоте ниже видно, что на вкладке Additional Account Info появилась новая кнопка Account Lockout Status , нажатие на которую запускает утилиту LockoutStatus.exe, которой в качестве аргумента будет передано имя соответствующего пользователя.
Чтобы удалить вкладку Additional Account Info в консоли ADUC, нужно отменить регистрацию библиотеки в системе и удалить соответствующие файлы:
regsvr32 /u %systemroot%SysWOW64acctinfo.dll_x000D__x000D_del %systemroot%SysWOW64acctinfo.dll_x000D_ del %systemroot%SysWOW64LockoutStatus.exe