В комментариях к одной из предыдущиз статей наша читательница sveta спрашивала, можно ли вернуть вкладку Additional info в консоли ADUC для домена на базе Win2008R2. Попробуем вспомнить, что это за вкладка и можно ли ее использовать в последних версиях Windows.
Многим администраторам вкладка Additional Account Info знакома еще со времен домена на базе Windows Server 2003. Напомним, чтобы в свойствах пользователя в консоли Active Directory Users and Computers (ADUC) появилась вкладка Additional Account Info, нужно было скачать Windows 2003 Resource Kit и зарегистрировать в системе специальную библиотеку Acctinfo.dll. После этого при открытии окна свойств любого пользователя AD, можно увидеть новую вкладку, содержавшей различную полезную для администратора домена информацию, в частности:
- Password Last Set — когда был изменен пароль пользователя
- Password Expires – когда истекает срой действия пароля пользователя
- User Account Control / Locked – статус учетной записи (активна, отключена, заблокирована и т.д.)
- Last logon (logoff) — время последней регистрации (выхода) пользователя на контроллере домена
- Информацию по счетчикам неудачных/удачных входов в систему
- Информацию о SID, GUID и SID History
- и т.д.
Итак, чтобы добавить Acctinfo.dll в консоль Active Directory Users and Computers в x64 версии Windows (Windows 7, Windows 8, Windows Server 2008 R2, Windows Server 2012) нужно:
- Скачать пакет Account Lockout and Management Tools с сайта Microsoft (архив от 8/22/2012, содержит самораспаковывающий архив ALTools.exe, размеров 850 KB) и распаковать его.
- Скопировать файл библиотеки acctinfo.dll в каталог C:\Windows\SysWOW64
- Запустить командную строку с правами администратора и зарегистрировать библиотеку в системе:
regsvr32 C:\Windows\SysWOW64\acctinfo.dll
- Создать ярлык для оснастки Active Directory Users and Computer (dsa.msc), указав в свойствах ярлыка, что нужно запускать консоль в 32 битном режиме:
C:\Windows\System32\dsa.msc -32
- С помощью созданного ярлыка открыть консоль ADUC и включить отображение дополнительных параметров (View->Advanced Features)
- Осталось открыть свойства любого пользователя домена и убедится, что новая вкладка Additional Account Info появилась.
Возможности этой вкладки также можно расширить, интегрировав в нее отдельную кнопку Account Lockout Status, позволяющей непосредственно из консоли ADUC запускать утилиту LockoutStatus.exe (Microsoft Account Lockout Status). Данная утилита может анализировать журналы контроллеров домена AD и определять на каком из контроллеров домена произошла блокировка учетной записи (мы вспоминали про эту утилиту в статье про поиск источника блокировки учётной записи пользователя в домене AD).
Все что нужно сделать – скопировать файл lockoutstatus.exe (из того же архива) в каталог %systemroot%\syswow64\ и перезапустить консоль ADUC. На скриншоте ниже видно, что на вкладке Additional Account Info появилась новая кнопка Account Lockout Status, нажатие на которую запускает утилиту LockoutStatus.exe, которой в качестве аргумента будет передано имя соответствующего пользователя.
Чтобы удалить вкладку Additional Account Info в консоли ADUC, нужно отменить регистрацию библиотеки в системе и удалить соответствующие файлы:
regsvr32 /u %systemroot%\SysWOW64\acctinfo.dll
del %systemroot%\SysWOW64\acctinfo.dll
del %systemroot%\SysWOW64\LockoutStatus.exe
«Дерегистрировать» — может лучше «отменить регистрацию библиотеки» ?
советующие — соответствующие
Спасибо за внимательность и знание великого и могучего 🙂 Статью поправил.
Большое спасибо за статью. Пошла «вживлять» 🙂
Пожалуйста! Будут вопросы — спрашивайте 🙂
Добрый!
При запуске ярлыка C:\Windows\System32\dsa.msc -32 выдает ошибку «Попытка ссылки на несуществующий токен»
Какая версия ОС?
На Windows 8.1 x64 попробуйте перерегистрировать acctinfo.dll с помощью 32 битной версии regsvr32.exe
C:\Windows\SysWOW64\regsvr32 C:\Windows\SysWOW64\acctinfo.dllПопробуйте вручную найти файл оснастки dsa.msa и запустить его из командной строки с параметром -32
Такую ошибку «Попытка ссылки на несуществующий токен» выдает ДО регистрации acctinfo.dll.
Система Win10
Не заработало как только не делал
Windows 10 Про x64 Ру свежая билд 1511
тоже на 10-ке немогу, но стоит 64-битный пакет администрирования, может в этом дело? ошибка запуска с ключем -32 (попытка ссылки на несуществующий токен)
Добрый день. Удалось вам запустить Такую ошибку «Попытка ссылки на несуществующий токен» выдает ДО регистрации acctinfo.dll. Или как Вы решили проблему ??
-32bit
На какой ОС возникает ошибка «An attempt was made to reference a token that does not exist» ?
Не пробовали установить пакет и зарегистрировать библиотекуacctinfo.dll на серверной Windows Server?
Windows 10, 1703, Сборка 15063.1029
на серваке ок, на 10ке глюк
Здравствуйте!
Было интересно, проверить на OS Windows Server 2016 build 1607 проверенно функционал из статьи работает, если запускать ярлы с повышенными правами (Run as Administrator). Если запускать ярлык без повышенных прав, то при попытке открыть вкладку Additional Account Info консоль завершает свою работу с ошибкой.
Здравствуйте, сделал по инструкции на cервере Win2008R2 х64, новой вкладки не появилось, в примере английская локализация, влияет ли это на работоспособность?
Additional account tab это пережиток прошлого. Если не работает с ходу — отпустите.
В консоли AD есть другая встроенная вкладка редактора атрибутов, где есть все те же данные: https://winitpro.ru/index.php/2019/08/15/active-directory-attribute-editor/