你们有没有试过这样一个情况,为了加强AD域的帐号安全,防止帐号被恶意的密码枚举,所以在AD域中设置了帐号锁定的策略,当你设置了帐号锁定策略之后,发现真的有很多的用户反馈帐号用不了了,查看这个用户的帐号时原来已经被锁定了,这时肯定就需要解锁。
从网站建设到定制行业解决方案,为提供成都做网站、成都网站设计服务体系,各种行业企业客户提供网站建设解决方案,助力业务快速发展。创新互联公司将不断加快创新步伐,提供优质的建站服务。上了帐号锁定策略后,才知道网络中原来有这么多的不安全,为了能够方便的批量为帐号解锁,另外又想要做一些相关的帐号锁定测试,方便的找出帐号锁定的原因,下面教大家使用AD 管理工具以及小工具,查询出在某个时间点之后被锁定的帐号和单个帐号的状态查询,希望对大家有用。
下载地址:
http://www.microsoft.com/en-us/download/details.aspx?id=15201
在已经加入域的计算机上,以管理员的帐号登录,并打开这个LockoutStatus 工具,如下图:
单击file-select Target
在弹出的窗口中,输入帐号,以及当前的域名,然后单击OK,即自动查询所有的DC服务器(这个小工具就方便在这里,它会自动查询所有的DC 服务器的日志)
正在查询
查询结果,可以看到这个用户的User State 状态为Not Locked ,即没被锁定,以及最后输错密码的时间。当然还有输错的密码次数等信息。
还可以利用这个工具直接解锁用户和重置密码。真的很方便。
注:以下例子为查询2014年03月12日下午4点后被锁定的用户
打开ADUC管理工具,右击保存查询,然后新建一个查询,如下图:
然后在新建查询的窗口中输入该查询的名称,如:查询某个时间点后被锁定的用户,以及定义要查询的位置(定位到某个OU或域)
然后单击“定义查询”
然定义查询的窗口中,查询类型选择“定义搜索”
然后单击高级
在高级的框中输入以下内容,以查询2014年03月12日下午4点后被锁定的用户为例:
(objectclass=user)(lockouttime>=130390848000000000)
其中命令中的130390848000000000 数字需要进行转换才能得到
时间的转换请到以下网站进行自动转换:
http://www.silisoftware.com/tools/date.php
如下图:
20140312040000 为标准时间(注:比中国时间慢12小时,所以就转换03月12日凌晨4点,转换后就是下午4点),精准到时分秒,转换成功后,复制FILETIME 的值出来,替换命令中的值即可
确认转换的值是否正确:
打开CMD 命令行,输入w32tm.exe /ntte 130390848000000000
如下图,就是下午4点的格式了:
回到AD 查询这里,再次确认查询语句,然后单击OK
再单击OK
右击刚新建的查询,然后单击刷新
立刻就可以看到这个时间点之被锁定的用户了,一共有32个这样的帐号
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
售后响应及时
7×24小时客服热线数据备份
更安全、更高效、更稳定价格公道精准
项目经理精准报价不弄虚作假合作无风险
重合同讲信誉,无效全额退款