Главная

Tuesday, 22 May 2018

Active Directory - хочу все знать.

Всем привет.

Время от времени приходится искать в Active Directory пользователя по имени или другому признаку. Или когда он был последний раз в сети. Особенно это актуально для вылова дублей на одного и того же сотрудника и на тех которым не сидится за своим рабочим ПК и они норовят поработать еще и за другим. Разумеется опять же может помочь Poweshell (об этом варианте позже), но также хотелось бы узнать для начала что же есть в штатном арсенале администратора Active Directory.

Как это не грустно, но - штатная оснастка Active Directory Users and Computers (ADUC) показывает многое, но ни времени последнего входа, ни когда истекает пароль по политике (это важно для забывчивых) там нет. 

Да, мне подсказывают что можно включить консоль ADSIEdit и (или на вкладке Attribute Editor) в свойствах пользователя увидеть нужные мне атрибуты пользователя. Можно, но не наглядно, долго бегать мышкой и глазами.

Можно еще задействовать инструмент от Русиновича ADExplorer. Чем он лучше? Он лучше тем что это отдельный инструмент и имеет логичный поиск по атрибутам объекта в Active Directory. Но наглядность результатов далека от идеала. Подобно ADSIEdit.

И вот я нахожу информацию про вкладку Additional Account Info которой у меня почему то нет.

Читаю и узнаю что еще со времен домена на базе Windows Server 2003 в свойствах пользователя в консоли  Active Directory Users and Computers (ADUC) появилась вкладка Additional Account Info. Для этого нужно было скачать Windows 2003 Resource Kit и зарегистрировать в системе специальную библиотеку Acctinfo.dll. После этого при открытии окна свойств любого пользователя AD, можно увидеть новую вкладку, содержавшей различную полезную для администратора домена информацию, в частности:
  • Password Expires - когда истекает срой действия пароля
  • User Account Control/Locked - статус учетной записи (активна, отключена, заблокирована и т.д.)
  • Last logon (logoff) - время последней регистрации (выхода) пользователя  на контроллере домена
  • Информацию по счетчикам неудачных/удачных входов в систему
  • Информацию о SID, GUID и SID History.



О, дело за малым добавить сие себе на сервер Windows Server 2012. Как именно, сказано там же.


Все получилось. Отлично, информация представленная на вкладке Additional Account Info более полная, наглядна и удобна для анализа.

Все просто.



No comments:

Post a Comment

А что вы думаете по этому поводу?