 Maintenance des comptes utilisateurs avec : Account Lockout and Management Tools
Accueil > Articles > Système
|
|
Auteurs
|
|
 |
|
|
39116
82/309
|
Account Lockout and Management Tools
 |
Voici un pack permettant de gérer absolument toutes
les opérations liées à la maintenance de vos comptes d'utilisateur.
Dénommé ALTool, il
contient une suite d'outils dédiées à leurs gestion (déverrouillage,
dépannage..), de plus cet article est en grande partie dédié au composant
AcctInfo.dll qui est de loin le plus intéressant. Sans aucun
doute son utilisation engendre un gain de temps indéniable pour chaque administrateur.
Comme d'habitude il est disponible directement sur notre site [
ici
] dans la section outils d'administration. A télécharger d'urgence
! |
ALTools.exe est composé des 7 fonctionnalités suivantes:
 :
Permet de déterminer les problèmes liés aux
verrouillages de comptes et aux changement de mot de passe.
Directement réalisable sur le contrôleur de domaine le plus proche du client. Il ajoute un onglet nommé "Additional Account Info"
aux propriétés du compte utilisateur accessible via la console "utilisateur et ordinateur
Active Directory". &
 :
Aide à localiser sur l'ordinateur client quel processus ou application a
envoyé de mauvaises informations de connection.  : Affiche des informations relatives
aux noms de
compte d'utilisateur et à l'âge de leurs mots de passe. :
Autorise Kerberos sur tous les clients Windows 2000 et ultérieur. Utilisez le
à l'aide d'un script de démarrage ou d'ouverture de session.  &
 :
Recueille des événements spécifiques de plusieurs clients et ceci de manière
centralisé. Une notice est associée au programme.-
: Détermine quels sont les contrôleurs de domaine qui sont impliqués dans le verrouillage d'un utilisateur afin d'aider
a
recueillir des informations. LockoutStatus.exe utilise l'outil de
NLParse.exe pour analyser des fichiers journaux/logs de Net logon pour des
codes de statut de retour spécifiques à Net logon. Puis envois ces
informations dans un fichier séparé par des points-virgules du type CSV pour une utilisation ultérieure !
 :
Permet d'extraire et de visualiser des données à
partir de logs Net logon.
Acctinfo.dll s'installe facilement, il suffit de:
- Copier la dll dans le répertoire %SYSTEMROOT%\system32
- Lancer la commande : regsvr32 %systemroot%\system32\acctinfo.dll
|
 |
Boite de dialogue indiquant la bonne réussite de
l'installation
Rendez-vous dans l'onglet Additional Account Info des propriétés de n'importe
lequel de vos comptes d'utilisateur issu de votre base de donnée
d'annuaire Active
Directory.
|
De nombreuses informations sont désormais visibles comme le statut du
compte, les opérations de maintenances comme le déverrouillage et
changement de mot de passe !
Ici
nous visualisons directement :
- La date de modification du mot de passe. [Password Last
Set]
- La date d'expiration du mot de passe. [Password Expires]
- La date et l'heure du dernier logon et logoff.
[Last Logon//Logoff]
- La date et l'heure du dernier mauvais logon. [Last Bad Logon]
- Compteur totalisant le nombre d'ouverture de session. [ Logon
Count]
- Compteur totalisant le nombre de mauvais mot de passe renseigné.
[Bad Password Count]
- Les valeurs du SID (Security IDentifier) et GUID
(Globally Unique IDentifier) de l'objet.
|
 |
Le bouton SID History situé à droite du
SID
permet de consulter directement la valeur de l'attribut SidHistory.
Lorsqu'il est inexistant ce dernier est grisé.
Pour rappel, lors d'une migration d'objet via ADMT 3.0
(Active Directory Migration Tool, pour plus
d'information cliquez
ici),
leur SID est sauvegardé puis stocké dans une liste appelée attribut
SidHistory, ceci permet à une entité de sécurité d'accéder aux
différentes ressources associé à ce SID post-migration.
Simplicité: Quelques fonctions bien pratique.
-
Le bouton nommé Set PW on site
DC permet de changer le mot de passe de l'utilisateur directement sur le
contrôleur de domaine du site où se situe le client (Pour rappel, par
défaut cette tâche est réalisée sur le maitre d’opération « émulateur PDC »,
pour un complément d’informations consultez l’article sur les Rôles FSMO [
ici ] ).Dans le cas ou vous
possédez une architecture complexe pensez à utiliser le bouton Just
Find
Site afin d'exécuter la détection automatique du site associé au
client. Deux possibilités (optionnel), la première forcera le
changement du mot de passe lors de la prochaine connexion de l'utilisateur
et la seconde permet son déverrouillage.
Fonction Set PW on site DC...
Fonction Domain PW info...
-
L'attribut User Account Control est directement
visible ici ainsi que son code d'état associé ! Généralement il est utilisé dans
des audits de sécurité lors d'échec en tous genre, l'administrateur doit
ensuite le décoder afin de localiser l'origine du problème, en pratique
c'est une opération longue et fastidieuse. Ici c'est simple vous avez juste
à utiliser le
bouton Decode... pour comprendre le code d'erreur associé
à cet attribut !
Voici quelques exemples de codes fréquents ainsi que leur décodage:
Code 514 : Compte désactivé
Code 512: Compte utilisable
Pour conclure: sans aucun doute la DLL AcctInfo est un outil qui va
grandement simplifier la vie de nombreux administrateurs et ceci exponentiellement à
la taille de leur infrastructure informatique ! Le résultat direct : un
gain de temps non négligeable.
|
|
|
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
