Dépannage des comptes utilisateurs Active Directory

Microsoft 365
#1

Dépanner des comptes utilisateurs n'est pas toujours une chose évidente. Le verrouillage d'un compte utilisateur AD à répétition provoque souvent des migraines. Le verrouillage intempestif des comptes utilisateurs Active Directory peut se produire lorsqu'une session est toujours ouverte sur un poste mais avec son précédent mot de passe. Nous allons voir comment dépanner ces comptes utilisateurs Active Directory.

Account Lockout and Management Tools

Pour vous aidez à mieux gérer et dépanner vos utilisateurs, vous pouvez télécharger sur le site Microsoft l'utilitaire Account Lockout and Management Tools. Cette suite d'utilitaires est composée de différents outils facilitant la gestion des comptes (déverrouillage, dépannage…). Nous discuterons également de la DLL AcctInfo.dll qui j'en suis certain vous séduira.

Cette suite est composée de 9 fichiers pour 7 fonctionnalités :

  1. acctinfo.dll : DLL venant s'ajouter aux onglets utilisateurs dans le composant Utilisateur et Ordinateur Active Directory. Il facilitera la recherche d'informations liées aux verrouillages de comptes ou aux changements de mot de passe.
  2. **Alockout.zip et AlockoutXP.zip : : Ces 2 fichiers zip contiennent une DLL devant être copiée dans system32 puis être enregistrée à l'aide du fichier.reg fourni. Il permet de connaitre facilement sur l'ordinateur client quels sont les processus qui ont envoyé des informations de connexion.
  3. **Aloinfo.exe : : Cet utilitaire permet d'afficher les informations du compte utilisateur ainsi que l'ancienneté du mot de passe de l'utilisateur.
  4. **EnableKerbLog.vbs : : Ce fichier vbs permet d'activer les logs Kerberos sur le poste de travail (ou serveur).
  5. EventComMT : Cet utilitaire permet de consolider le résultat d'une recherche dans les journaux d'événement de plusieurs ordinateurs ce qui est utile pour savoir sur quel DC un compte a été authentifié.
  6. **LockoutStatus.exe : : Cet outil permet de connaitre le DC qui a verrouillé un compte un utilisateur. Vous pouvez également exporter le résultat dans un fichier csv.
  7. NLparse: Cet utilitaire est un parseur des fichiers de log de Net logon, c'est à dire qui va permettre de faciliter la lecture afin d'améliorer son interprétation.

Acctinfo.dll en profondeur

Avant de voir en détail ce que peux vous apporter Acctinfo il vous faut installer cette DLL sur l'un de vos contrôleurs de domaine Active Directory pour dépanner les verrouillages de compte intempestifs. L'affichage de votre console de gestion de compte AD va être modifiée pour intégrer cette nouvelle fonctionnalité.

Etape 1 : installation de la DLL

Pour se faire suivez la procédure suivante :
Copier la dll dans le répertoire %SYSTEMROOT%\system32
Puis exécuter dans une invite de commande : *regsvr32 %systemroot%\system32\acctinfo.dll *
Vous devez obtenir le message suivant :

Etape 2 : Utilisation de la MMC Utilisateurs et Ordinateurs Active Directory

Ouvrez votre console MMC sur le poste où la DLL a été enregistrée, puis faite un clic droit propriété sur un compte d'utilisateur, vous trouverez un nouvel onglet Additional Account Info.

Vous retrouverez d'avantage d'information sur le compte de l'utilisateur comme :

  • La date de modification du mot de passe de votre utilisateur. [Password Last Set]
  • La date d'expiration du mot de passe. [Password Expires]
  • La date et l'heure des dernières ouvertures et fermetures de session utilisateur. [Last Logon//Logoff]
  • La date et l'heure de la dernière ouverture de session qui a échouée. [Last Bad Logon]
  • Le nombre d'ouverture de session. [ Logon Count]
  • Le nombre de mauvais mot de passe renseigné (cette valeur est reseté une fois le compte verrouillé). [Bad Password Count]
  • Le numéro de SID (Security IDentifier) de l'utilisateur ainsi que son GUID (Globally Unique IDentifier).
  • Le SID History lorsqu'il est présent sur l'utilisateur (migré avec ADMT par exemple).

Usage avancé de la DLL acctinfo.dll

Vous pouvez à l'aide du bouton Set PW on site DC changer le mot de passe d'un utilisateur sur le contrôleur de domaine définit. Cette option est pratique surtout pour réinitialiser le mot de passe d'un utilisateur qui se fait authentifier par un contrôleur de domaine distant.

L'option Domain PW Info, va vous permettre de connaitre la stratégie de mot de passe qui est appliqué au compte de l'utilisateur.

L'attribut User Account Control permet de connaitre l'état du compte utilisateur (Activé, désactivé, verrouillé etc).

Ce pack de management devrait faire parti de vos installations de contrôleur de domaine afin de vous simplifier la vie sur l'administration de vos comptes utilisateurs.