Вкладка Additional Account Info в консоль ADUC

26.02.2020

В комментариях к одной из предыдущиз статей наша читательница sveta спрашивала, можно ли вернуть вкладку Additional info в консоли ADUC для домена на базе Win2008R2. Попробуем вспомнить, что это за вкладка и можно ли ее использовать в последних версиях Windows.

Многим администраторам вкладка Additional Account Info знакома еще со времен домена на базе Windows Server 2003. Напомним, чтобы в свойствах пользователя в консоли Active Directory Users and Computers (ADUC) появилась вкладка Additional Account Info, нужно было скачать Windows 2003 Resource Kit и зарегистрировать в системе специальную библиотеку Acctinfo.dll. После этого при открытии окна свойств любого пользователя AD, можно увидеть новую вкладку, содержавшей различную полезную для администратора домена информацию, в частности:

Password Last Set — когда был изменен пароль пользователя

Password Expires – когда истекает срой действия пароля пользователя
User Account Control / Locked – статус учетной записи (активна, отключена, заблокирована и т.д.)
Last logon (logoff) — время последней регистрации (выхода) пользователя на контроллере домена
Информацию по счетчикам неудачных/удачных входов в систему
Информацию о SID, GUID и SID History
и т.д.

Совет. В общем-то всю эту информацию можно получить с помощью консоли ADSIEdit или на вкладке Attribute Editor в свойствах пользователя (появилась в версии ADUC для Windows 7), но информация представленная на вкладке Additional Account Info более полная, информативна и удобна для анализа.

Итак, чтобы добавить Acctinfo.dll в консоль Active Directory Users and Computers в x64 версии Windows (Windows 7, Windows 8, Windows Server 2008 R2, Windows Server 2012) нужно:

Скачать пакет Account Lockout and Management Tools с сайта Microsoft (архив от 8/22/2012, содержит самораспаковывающий архив ALTools.exe, размеров 850 KB) и распаковать его.
Скопировать файл библиотеки acctinfo.dll в каталог C:\Windows\SysWOW64 $копируем acctinfo.dll в каталог C:\Windows\SysWOW64$
Запустить командную строку с правами администратора и зарегистрировать библиотеку в системе:
```
regsvr32 C:\Windows\SysWOW64\acctinfo.dll
```
$regsvr32 C:\Windows\SysWOW64\acctinfo.dll$
Создать ярлык для оснастки Active Directory Users and Computer (dsa.msc), указав в свойствах ярлыка, что нужно запускать консоль в 32 битном режиме:
```
C:\Windows\System32\dsa.msc -32
```
$C:\Windows\System32\dsa.msc -32$
С помощью созданного ярлыка открыть консоль ADUC и включить отображение дополнительных параметров (View->Advanced Features)
Осталось открыть свойства любого пользователя домена и убедится, что новая вкладка Additional Account Info появилась.

Возможности этой вкладки также можно расширить, интегрировав в нее отдельную кнопку Account Lockout Status, позволяющей непосредственно из консоли ADUC запускать утилиту LockoutStatus.exe (Microsoft Account Lockout Status). Данная утилита может анализировать журналы контроллеров домена AD и определять на каком из контроллеров домена произошла блокировка учетной записи (мы вспоминали про эту утилиту в статье про поиск источника блокировки учётной записи пользователя в домене AD).

Все что нужно сделать – скопировать файл lockoutstatus.exe (из того же архива) в каталог %systemroot%\syswow64\ и перезапустить консоль ADUC. На скриншоте ниже видно, что на вкладке Additional Account Info появилась новая кнопка Account Lockout Status, нажатие на которую запускает утилиту LockoutStatus.exe, которой в качестве аргумента будет передано имя соответствующего пользователя.

Примечание. Вся описанная выше процедура должна работать и на 32-битных версиях Windows с одной ремаркой: копировать файлы библиотек нужно в каталог %systemroot%\system32\. Но мною этот вариант не тестировался, т.к. таких 32 битных ОС под рукой просто не осталось : ).

Чтобы удалить вкладку Additional Account Info в консоли ADUC, нужно отменить регистрацию библиотеки в системе и удалить соответствующие файлы:

regsvr32 /u %systemroot%\SysWOW64\acctinfo.dll

del %systemroot%\SysWOW64\acctinfo.dll
  del %systemroot%\SysWOW64\LockoutStatus.exe

Предыдущая статья Следующая статья

Ищем источник блокировки учетной записи пользователя в Active Directory

Центральное хранилище административных шаблонов GPO в Active Directory

Используем сервисные учетные записи AD (MSA и gMSA) для запуска сервисов и заданий Windows

Get-ADUser: получение информации о пользователях Active Directory из PowerShell

Windows LAPS: Управление паролями локальных администраторов на компьютерах в AD

Ищем источник блокировки учетной записи пользователя в Active Directory

Настройка параметров браузера Google Chrome с помощью групповых политик

Комментариев: 17 Оставить комментарий

Владимир 21.05.2014
«Дерегистрировать» — может лучше «отменить регистрацию библиотеки» ?
советующие — соответствующие
Ответить
- itpro 22.05.2014
  Спасибо за внимательность и знание великого и могучего 🙂 Статью поправил.
  Ответить
svetlana 30.06.2014
Большое спасибо за статью. Пошла «вживлять» 🙂
Ответить
- itpro 01.07.2014
  Пожалуйста! Будут вопросы — спрашивайте 🙂
  Ответить
Sergey 04.06.2015
Добрый!
При запуске ярлыка C:\Windows\System32\dsa.msc -32 выдает ошибку «Попытка ссылки на несуществующий токен»
Ответить
- itpro 05.06.2015
  Какая версия ОС?
  На Windows 8.1 x64 попробуйте перерегистрировать acctinfo.dll с помощью 32 битной версии regsvr32.exe
  C:\Windows\SysWOW64\regsvr32 C:\Windows\SysWOW64\acctinfo.dll
  Попробуйте вручную найти файл оснастки dsa.msa и запустить его из командной строки с параметром -32
  Ответить
  - Oleg 20.05.2016
    Такую ошибку «Попытка ссылки на несуществующий токен» выдает ДО регистрации acctinfo.dll.
    Система Win10
    Ответить
    - PuCtoy 20.05.2016
      Не заработало как только не делал
      Windows 10 Про x64 Ру свежая билд 1511
      Ответить
      - Сергей 05.05.2017
        тоже на 10-ке немогу, но стоит 64-битный пакет администрирования, может в этом дело? ошибка запуска с ключем -32 (попытка ссылки на несуществующий токен)
      - Сергей 21.02.2018
        Добрый день. Удалось вам запустить Такую ошибку «Попытка ссылки на несуществующий токен» выдает ДО регистрации acctinfo.dll. Или как Вы решили проблему ??
  - Татьяна 20.01.2020
    -32bit
    Ответить
itpro 22.02.2018
На какой ОС возникает ошибка «An attempt was made to reference a token that does not exist» ?
Не пробовали установить пакет и зарегистрировать библиотекуacctinfo.dll на серверной Windows Server?
Ответить
- Кот 31.05.2018
  Windows 10, 1703, Сборка 15063.1029
  Ответить
- Eugene 14.03.2019
  на серваке ок, на 10ке глюк
  Ответить
Алексей 04.03.2019
Здравствуйте!
Было интересно, проверить на OS Windows Server 2016 build 1607 проверенно функционал из статьи работает, если запускать ярлы с повышенными правами (Run as Administrator). Если запускать ярлык без повышенных прав, то при попытке открыть вкладку Additional Account Info консоль завершает свою работу с ошибкой.
Ответить
Константин 30.04.2020
Здравствуйте, сделал по инструкции на cервере Win2008R2 х64, новой вкладки не появилось, в примере английская локализация, влияет ли это на работоспособность?
Ответить
- itpro 06.05.2020
  Additional account tab это пережиток прошлого. Если не работает с ходу — отпустите.
  В консоли AD есть другая встроенная вкладка редактора атрибутов, где есть все те же данные: https://winitpro.ru/index.php/2019/08/15/active-directory-attribute-editor/
  Ответить

Оставить комментарий