Параметры политики паролей по умолчанию
Детально настроенные политики паролей позволяют применять определенные ограничения для политик паролей и блокировки учетных записей для разных пользователей в домене. Например, чтобы защитить привилегированные учетные записи, можно применить более надежные параметры блокировки учетной записи, чем для обычных учетных записей без привилегий. Можно создать несколько детально настроенных политик паролей в управляемом домене и указать порядок приоритета их применения к пользователям.
Дополнительные сведения о политиках паролей и использовании центра администрирования Active Directory см. в следующих статьях:
- Детально настроенные политики паролей
Политики распространяются с помощью связи групп в управляемом домене, а все вносимые изменения применяются при следующем входе пользователя в систему. Изменение политики не разблокирует уже заблокированную учетную запись пользователя.
Политики паролей работают по-разному в зависимости от того, как была создана учетная запись пользователя, к которой они применяются. В Azure AD DS учетную запись пользователя можно создать двумя способами:
- Учетную запись пользователя можно синхронизировать из Azure AD. Эта процедура включает облачные учетные записи пользователей, созданные непосредственно в Azure, а также гибридные учетные записи пользователей, синхронизированные из локальной среды AD DS с помощью Azure AD Connect.
- Учетная запись пользователя может быть создана вручную в управляемом домене и не существует в Azure AD.
Ко всем пользователям независимо от способа создания их учетных записей применяются следующие политики блокировки учетной записи, работающие на основе политики паролей Azure AD DS по умолчанию:
- Длительность блокировки учетных записей: 30
- Разрешенное число неудачных попыток входа в систему: 5
- Время, по истечении которого сбрасываются неудачные попытки входа в систему: 2 мин
- Максимальный срок действия пароля (время жизни): 90 дней
С такими настройками учетные записи пользователей блокируются на 30 минут, если в течение 2 минут используются пять недействительных паролей. Учетные записи автоматически разблокируются через 30 минут.
Блокировки учетных записей происходят только в управляемом домене. Учетные записи пользователей блокируются только в Azure AD DS и только из-за неудачных попыток входа в управляемый домен. Учетные записи пользователей, которые были синхронизированы в Azure AD или локальной среде, не блокируются в исходных каталогах, а только в Azure AD DS.
Если ваша политика паролей Azure AD определяет максимальный срок действия пароля свыше 90 дней, этот срок действия применяется к политике по умолчанию в AD DS Azure. С помощью пользовательской политики паролей можно задать другой максимальный срок действия пароля в Azure AD DS
Обратите внимание, что в политике паролей Azure AD DS должен быть задан более короткий срок действия пароля, чем в Azure AD или в локальной среде AD DS. В этом случае срок действия пароля пользователя в Azure AD DS может истечь до запроса на изменение пароля в Azure AD или в локальной среде AD DS
Для учетных записей пользователей, созданных вручную в управляемом домене, также применяются следующие дополнительные параметры политики паролей по умолчанию. Эти параметры не применяются к учетным записям пользователей, синхронизированным в Azure AD, так как пользователь не может обновить свой пароль непосредственно в AD DS Azure.
- Минимальная длина пароля (знаков): 7
- Требование соответствия паролей требованиям к сложности.
Параметры блокировки учетной записи или пароля в политике паролей по умолчанию изменить нельзя. Вместо этого члены группы Администраторы контроллера домена AAD могут создавать пользовательские политики паролей, которые имеют больший приоритет и переопределяют политику по умолчанию, как описано в следующем разделе.
Политики блокировки учётных записей в домене Active Directory
Политики блокировки учётных записей обычно устанавливаются в Default Domain Policy для всего домена с помощью оснастки gpmc.msc. Необходимые политики можно найти в Computer configuration→ Policies→ Windows Settings → Security Settings → Account Policies → Account Lockout Password (в русскоязычной версии это соответственно Конфигурация компьютера → Политики → Конфигурация Windows → Параметры безопасности → Политики учетных записей → Политика блокировки учётной записи). Это следующие политики:
- Account Lockout Threshold (Пороговое значение блокировки) – количество неудачных попыток входа в систему (с неправильным паролем), которое может быть выполнено пользователем до блокировки его учётной записи;
- Account Lockout Duration (Продолжительность блокировки учётной записи) — как долго будет заблокирована учётная запись, если пользователь несколько раз ввёл неверный пароль;
- Reset account lockout counter after (Время до сброса счётчика блокировки) — количество минут, по истечении которых счётчик порога блокировки учётной записи будет сброшен.
Чтобы защитить учётные записи пользователей вашего домена от взлома пароля, рекомендуется использовать надёжные пароли пользователей в AD (длина пароля не менее 8 символов и включение требований к сложности пароля). Это настраивается в разделе Password Policy («Политика паролей»): Password must meet complexity requirements (Пароль должен отвечать требованиям сложности) и Minimum password length (Минимальная длина пароля). Периодически нужно проверять пароли пользователей.
Случаи, когда пользователь забывает пароль и сами вызывают блокировку учётной записи, происходят довольно часты. Если пользователь недавно сменил пароль и забыл его, вы можете сбросить его. Но в некоторых случаях блокировка учётной записи происходит без какой-либо очевидной причины. То есть пользователь заявляет, что никогда не ошибался при вводе пароля, но его учётная запись по каким-то причинам заблокирована. Администратор может разблокировать аккаунт вручную по запросу пользователя, но через некоторое время ситуация может повториться.
Чтобы решить проблему пользователя, администратору необходимо выяснить, с какого компьютера и программы учётная запись пользователя в Active Directory была заблокирована.
Добавление дочернего домена
Для создания дочернего домена в существующем дереве используется программа-мастер Active Directory Installation Wizard.
Замечание: Перед запуском DCpromo вы должны присоединить компьютер к домену, который будет родительским для нового. Для этого следуйте инструкциям, приведенным в разделе «Добавление серверов и рабочих станций в домен». Сделав это, запустите Dcpromo и выполните действия, описанные ниже. Присоединение компьютера к домену перед повышением его статуса будет необязательным в последующих версиях.
Добавления дочернего домена через запись администратора
Зарегистрируйтесь, используя локальную учетную запись администратора. Если вы модернизируете резервный контроллер домена Windows NT 4.0 — вы уже зарегистрированы.
- Нажмите кнопку Start и выберите в меню пункт Run.
- Введите dcpromo и нажмите кнопку OK.
- Будет запущена программа-мастер DCpromo. Нажмите кнопку Next, чтобы продолжить работу с ней.
- Выберите пункт New domain и нажмите кнопку Next.
- Выберите пункт Create new child domain и нажмите кнопку Next.
- Введите полное DNS-имя существующего домена, который будет в дереве родительским для нового, например «nttest.microsoft.com’, и нажмите кнопку Next.
- Введите короткое имя нового дочернего домена, например «redmond». Имя родительского домена будет добавлено к этому имени для создания полного DNS-имени дочернего домена, например «redmond.nttest.microsoft.com.»
- Нажмите кнопку Next. DCpromo проверит, не существует ли уже такого имени.
- DCpromo предложит вам NetBIOS-имя домена. Для обеспечения обратной совместимости с такими клиентами, как Windows NT 4.0, это имя будет использоваться ими для идентификации домена. Используйте предложенное имя или введите другое и нажмите кнопку Next.
- Введите имя, пароль и домен учетной записи пользователя, обладающего административными привилегиями в родительском домене, и нажмите кнопку Next.
- Завершите работу с программой-мастером так же, как при создании первого домена в лесу.
Замечание: В последующих версиях вы сможете делегировать отдельным пользователям или группам полномочия на создание дочерних доменов. При этом им не нужно будет передавать всю полноту административных полномочий в родительском домене.
После перезагрузки компьютера он будет функционировать как первый контроллер в новом дочернем домене.
Разница между отключённой, просроченной и заблокированной учётной записью
Данная статья посвящена заблокированным аккаунтом (в английской версии это locked out). Но кроме блокировки аккаунта, возможны следующие причины, почему пользователь не может войти в домен:
- аккаунт отключён
- аккаунт просрочен
- пользователь ограничен определённым временем или компьютером для входа
Отключённые аккаунты (disabled)
Администратор домена может вручную отключить (деактивировать) аккаунт пользователя. Если пользователь отключён, то будет выведено сообщение:
Ваша учётная запись отключена. Обратитесь к системному администратору.
Включение аккаунта выполняется администратором (вручную или через скрипт), но не может быть выполнено автоматически, например, по истечении определённого срока действия.
Заблокированные аккаунты (locked out)
Учётная запись может быть заблокирована автоматически в соответствии с политикой блокировки учётной записи организации. Если пользователь ввёл неправильный пароль более определённого количества раз (порог устанавливается политикой паролей), то его аккаунт автоматически блокируется на время, которое также устанавливается политикой паролей.
На период блокировки пользователь будет получать следующее сообщение при каждой попытке входа:
Учётная запись заблокирована и не может использоваться для входа в сеть.
Блокировка может быть снята автоматически после истечения сроки блокировки, установленной в политике паролей домена. Также администратор может ускорить этот процесс и снять блокировку вручную.
Если время разблокировки в групповой политике пароля установлено на 0, то такая учётная запись никогда не будет разблокирована автоматически, для её разблокировки требуется действие администратора домена.
Учётные записи с истекшим сроком действия (expired)
Учётная запись пользователя может быть бессрочной или действующий в течение определённого времени. Удобно установить срок действия учётной записи для временных пользователей, которые должны иметь доступ в домен, например, на период действия контракта с ними. При установки срока истечения действия, системный администратор не пропустит момент когда нужно отключить пользователя.
Запрет доступа по другим причинам
Пользователю может быть разрешено входить только на определённые компьютеры и/или только в определённые часы. Пример сообщения, когда пользователю не разрешено выполнить вход на этом компьютере:
Вы не можете пользоваться этим компьютером из-за ограничений вашей учётной записи. Попробуйте воспользоваться другим компьютером.
Пример сообщения, когда пользователь пытается войти в неурочное время или день:
Вы не можете сейчас войти в систему из-за ограничений вашей учётной записи. Попробуйте ещё раз позже.
Данные ограничения могут перестать действовать в определённые часы или на определённых компьютерах. Эти ограничения устанавливает и снимает администратор домена.
Идентификатор события блокировки учётной записи 4740
Прежде всего, администратор должен выяснить, с какого компьютера или сервера происходят попытки ввода неверного пароля, и продолжить блокировку учётных записей компьютеров.
Если ближайший к пользователю контроллер домена определяет, что пользователь пытается войти в систему с недопустимыми учётными данными, он перенаправляет запрос проверки подлинности на контроллер домена с эмулятора основного контроллера домена (этот конкретный контроллер домена отвечает за обработку блокировок учётных записей). Если аутентификация на PDC завершается неудачно, он отвечает на первый DC, что аутентификация невозможна. Если количество неудачных проверок подлинности превышает значение, установленное для домена в политике Account Lockout Threshold (Пороговое значение блокировки), учётная запись пользователя временно блокируется.
В этом случае событие с EventID 4740 записывается в журнал безопасности обоих контроллеров домена. Событие содержит DNS-имя (IP-адрес) компьютера, с которого пришел первоначальный запрос на авторизацию пользователя. Чтобы не анализировать журналы на всех контроллерах домена, проще всего искать события блокировки в журнале безопасности на PDC контроллера домена. Вы можете найти PDC в своём домене следующим образом:
(Get-AdDomain).PDCEmulator
События блокировки учётной записи домена можно найти в журнале безопасности на контроллере домена. Чтобы его увидеть, запустите Event Viewer («Просмотр событий»), его можно открыть в командной строке:
eventvwr.msc
В окне Event Viewer («Просмотр событий») перейдите по пути Event Viewer (Local) → Windows Logs → Security (в русскоязычной версии это Просмотр событий (локальный) → Журналы Windows → Безопасность).
В Event Viewer («Просмотр событий») отфильтруйте журнал безопасности по Event ID («Код события») указав значение 4740, для этого нажмите Filter Current Log («Фильтр текущего журнала») и введите в поле <All Event Ids> («Все коды событий») значение 4740.
Вы должны увидеть список последних событий блокировки учётной записи. Найдите событие с нужной вам учётной записью пользователя (имя пользователя указано в значении поля Account Name («Имя учётной записи»). В описании события вы увидите строку A user account was locked out («Учетная запись пользователя была заблокирована»).
Подсказка: в большой среде AD в журнал безопасности на контроллерах домена записывается большое количество событий, которые постепенно перезаписываются новыми. Поэтому рекомендуется увеличить максимальный размер журнала на контроллерах домена и как можно скорее приступить к поиску источника блокировки.
Откройте найденное событие. Имя компьютера (сервера), с которого была произведена блокировка, указывается в поле Caller Computer Name. В моём случае имя компьютера — HACKWARE-WIN.
Действия по предварительной настройке учетной записи имени кластера
Обычно проще, если вы не предготовите учетную запись имени кластера, а вместо этого разрешаете создание и настройку учетной записи автоматически при запуске мастера создания кластера. Однако, если необходимо предварительно подготовить учетную запись имени кластера из-за требований в Организации, используйте следующую процедуру.
Необходимым минимальным требованием для выполнения этой процедуры является членство в группе Администраторы домена или эквивалентной. Просмотрите сведения об использовании соответствующих учетных записей и членстве в группах в https://go.microsoft.com/fwlink/?LinkId=83477
Обратите внимание, что для этой процедуры можно использовать ту же учетную запись, которая будет использоваться при создании кластера
Предварительная настройка учетной записи имени кластера
Убедитесь, что известно имя кластера, и имя учетной записи пользователя, которая будет использоваться пользователем, создавшим кластер
(Обратите внимание, что для выполнения этой процедуры можно использовать эту учетную запись.)
На контроллере домена нажмите кнопку Пуск, выберите пункт Администрирование, а затем выберите Active Directory пользователи и компьютеры. При появлении диалогового окна Контроль учетных записей подтвердите отображаемое в нем действие и нажмите кнопку Продолжить.
В дереве консоли щелкните правой кнопкой мыши Компьютеры или контейнер по умолчанию, в котором создаются учетные записи компьютеров в вашем домене
Компьютеры находятся в Active Directory пользователи и компьютеры/домен-узел/компутерс.
Щелкните создать , а затем — компьютер.
Введите имя, которое будет использоваться для отказоустойчивого кластера, иными словами, имя кластера, которое будет указано в мастере создания кластера, и нажмите кнопку ОК.
Щелкните только что созданную учетную запись правой кнопкой мыши и выберите пункт Отключить учетнуюзапись. Если будет предложено подтвердить выбор, нажмите кнопку Да.
Учетная запись должна быть отключена, чтобы при запуске мастера создания кластера можно было убедиться, что учетная запись, которая будет использоваться для кластера, в настоящее время не используется существующим компьютером или кластером в домене.
Убедитесь, что в меню вид выбран пункт Дополнительные компоненты .
Если выбран параметр Дополнительные функции , вкладка Безопасность отображается в свойствах учетных записей (объектов) в Active Directory пользователи и компьютеры.
Щелкните правой кнопкой мыши папку, которую вы щелкнули на шаге 3 правой кнопкой мыши, и выберите пункт Свойства.
На вкладке Безопасность нажмите кнопку Дополнительно.
Нажмите кнопку Добавить, выберите пункт типы объектов и убедитесь, что выбран пункт Компьютеры , а затем нажмите кнопку ОК. Затем в разделе введите имя объекта для выборавведите имя только что созданной учетной записи компьютера и нажмите кнопку ОК. Если появится сообщение о том, что вы собираетесь добавить отключенный объект, нажмите кнопку ОК.
В диалоговом окне запись разрешения выберите разрешения Создание объектов компьютера и чтение всех свойств и убедитесь, что флажок Разрешить установлен для каждого из них.
Нажмите кнопку ОК , чтобы вернуться в оснастку Active Directory пользователи и компьютеры .
Если вы используете ту же учетную запись для выполнения этой процедуры, которая будет использоваться для создания кластера, пропустите оставшиеся шаги. В противном случае необходимо настроить разрешения таким образом, чтобы учетная запись пользователя, которая будет использоваться для создания кластера, полностью могла управлять только что созданной учетной записью компьютера.
Убедитесь, что в меню вид выбран пункт Дополнительные компоненты .
Щелкните правой кнопкой мыши только что созданную учетную запись компьютера и выберите пункт Свойства.
На вкладке Безопасность нажмите кнопку Добавить. При появлении диалогового окна Контроль учетных записей подтвердите отображаемое в нем действие и нажмите кнопку Продолжить.
Используйте диалоговое окно Выбор пользователей, компьютеров или групп , чтобы указать учетную запись пользователя, которая будет использоваться при создании кластера. Затем нажмите кнопку ОК.
Убедитесь, что выбрана только что добавленная учетная запись пользователя, а затем рядом с полем полный доступустановите флажок Разрешить .
Настройка DNS сервера на рабочих станциях
Многие протоколы Active Directory сильно зависят от DNS сервера, поэтому вряд ли получится использовать сторонний DNS сервер (например, BIND). Мы уже настроили в Windows Server роль DNS, то есть фактически запустили DNS сервер. Теперь нужно сделать так, чтобы рабочие станции использовали IP адрес Windows Server в качестве DNS сервера.
Также смотрите: Введение в DNS терминологию, компоненты и концепции
Рассмотрим, как изменить настройки DNS сервера разными способами. Вам нужно выбрать один из подходящих для вас вариантов.
В моей установке Active Directory компьютер с DNS сервером (контроллер домена) имеет IP адрес 192.168.1.60. Следовательно, моя задача установить данный IP адрес в качестве первичного DNS сервера. В качестве вторичного DNS сервера вы можете выбрать любой другой.
Как настроить DNS сервер на Windows 10
Нажмите на иконку «Доступ к Интернету», затем кликните на имени вашего сетевого подключения:
Нажмите на «Настройка параметров адаптера»:
(Другой быстрый способ попасть сюда, это набрать в командной строке «control netconnections» или «control ncpa.cpl»).
Кликните правой кнопкой по адаптеру, настройки которого вы хотите изменить, и в открывшемся контекстном меню выберите «Свойства».
Выберите «IP версии 4 (TCP/IPv4)» и нажмите кнопку «Свойства».
Выберите «Использовать следующие адреса DNS-серверов» и введите IP.
Когда всё будет готово нажмите «ОК» и закройте окна.
Как настроить DNS сервер в Windows Admin Center
Перейдите на вкладку «Сети» и выберите сетевой адаптер, настройки которого вы хотите изменить и нажмите кнопку «Параметры».
Перключите на «Используйте следующие адреса DNS-сервера», введите желаемые настройки DNS адреса и нажмите кнопку «Сохранить».
Как настроить DNS сервер в PowerShell
Если вы хотите указать один DNS сервер, то используйте команду вида:
Set-DnsClientServerAddress -InterfaceIndex 6 -ServerAddresses IP_DNS
Для указания двух DNS серверов используйте синтаксис:
Set-DnsClientServerAddress -InterfaceIndex ИНДЕКС_ИНТЕРФЕЙСА -ServerAddresses ("IP_DNS_1","IP_DNS_2")
Например:
Set-DnsClientServerAddress -InterfaceIndex ИНДЕКС_ИНТЕРФЕЙСА -ServerAddresses ("192.168.1.60","127.0.0.1")
Как проверить настройки DNS в Windows
Чтобы убедиться, что DNS сервер работает и что в качестве DNS используется именно контроллер домена, выполните команду:
nslookup suip.biz
Мы получили IP адрес этого сайта — это означает, что DNS сервер работает. Строка «Address: 192.168.1.60» содержит IP адрес DNS сервера, как мы можем убедиться, это контроллер домена.
Следующая команда выведет IP адрес Домена:
nslookup IP_ДОМЕНА
Например:
nslookup ds.hackware.ru
Строки с Addresses содержат в том числе и локальный IP адрес домена:
Addresses: fd28:62f2:dde3:0:f46c:b244:b1c3:9613 192.168.1.60
Если вы хотите обойтись исключительно средствами PowerShell и не использовать стороннюю утилиту, то проверить настройки DNS сервера, а также узнать IP адрес домена вы можете следующими командами:
Get-DnsClientServerAddress Resolve-DnsName ds.hackware.ru
Примеры использования Get-ADUser
Давайте покажем ещё несколько полезных примеров команд для запросов пользователей Active Directory с помощью различных фильтров. Вы можете объединить их, чтобы получить необходимый список пользовательских объектов AD:
Отобразить пользователей AD, имя которых начинается с Joe:
Get-ADUser -Filter {name -like "Joe*"}
Вы можете использовать PowerShell для расчёта общего количества учётных записей пользователей в Active Directory:
Get-ADUser -Filter {SamAccountName -like "*"} | Measure-Object
Вывод списка пользователей и их свойств, размещённых в определённом организационном подразделении (контейнере) в данном случае это OU=Finance,OU=UserAccounts,DC=FABRIKAM,DC=COM:
Get-ADUser -Filter * -SearchBase "OU=Finance,OU=UserAccounts,DC=FABRIKAM,DC=COM"
Найти отключённые учётные записи пользователей Active Directory:
Get-ADUser -Filter {Enabled -eq "False"} | Select-Object SamAccountName,Name,Surname,GivenName | Format-Table
Вы можете проверить дату создания учётной записи пользователя Active Directory с помощью команды:
Get-ADUser -Filter * -Properties Name,WhenCreated | Select name,whenCreated
Вы можете получить список недавно добавленных пользователей Active Directory, созданных за последние 24 часа:
$lastday = ((Get-Date).AddDays(-1)) Get-ADUser -filter {(whencreated -ge $lastday)}
Вывести список учётных записей с просроченным паролем (вы можете настроить параметры истечения срока действия пароля в политике паролей домена):
Get-ADUser -Filter {Enabled -eq $True} -Properties name,passwordExpired | Where-Object {$_.PasswordExpired}| Select-Object name,passwordexpired
Командлеты Get-ADUser и Add-ADGroupMember можно использовать для создания динамических групп пользователей AD (в зависимости от города, должности, отдела и прочего).
Задача: для списка учётных записей, которые хранятся в текстовом файле (по одной учётной записи в строке), вам необходимо получить название компании пользователя из AD и сохранить его в файл CSV (вы можете легко импортировать этот файл в Excel).
Import-Csv c:\ps\users_list.csv | ForEach { Get-ADUser -Identity $_.user -Properties Name,Company | Select-Object Name,Company | Export-CSV c:\ps\users_ad_list.csv -Append -Encoding UTF8 }
Пользователи, которые не меняли свои пароли в течение последних 90 дней:
$90_Days = (Get-Date).adddays(-90) Get-ADUser -Filter {(passwordlastset -le $90_days)}
Чтобы получить фотографию пользователя из Active Directory и сохранить её в файле jpg, выполните следующие команды:
$usr = Get-ADUser sjoe -Properties thumbnailPhoto $usr.thumbnailPhoto | Set-Content sjoe.jpg -Encoding byte
Чтобы получить список групп AD, членом которых является учётная запись пользователя:
Get-AdUser MiAl -Properties memberof | Select-Object memberof -ExpandProperty memberof
Перечислить пользователей из OU, которые являются членами определённой группы безопасности домена:
Get-ADUser -SearchBase 'OU=Rome,OU=Italy,DC=hackware,DC=ru' -Filter * -Properties memberof | Where-Object {($_.memberof -like "*CEO*")}
Перечислить компьютеры домена, на которых пользователю разрешён вход.
Get-ADUser MiAl -Properties LogonWorkstations | Format-List Name,LogonWorkstations
Чтобы искать компьютеры и фильтровать компьютеры по их свойствам в Active Directory, вы можете использовать другой командлет – Get-ADComputer.
Как установить срок действия учетной записи для пользователя
Учетные записи пользователей могут быть настроены с истечением срока действия после определенного периода времени.
Установка срока действия учетной записи с помощью Active Directory Users and Computers
Чтобы установить срок действия учетной записи в ADUC, выполните следующие простые шаги:
Откройте ADUC (dsa.msc), перейдите к OU или контейнеру, в котором находится нужный пользователь, щелкните правой кнопкой мыши на белом пространстве и выберите Find…. В поле Name введите имя или начало имени и нажмите кнопку Find Now. В результатах поиска выберите юзера, которому нужно установить срок действия. Щелкните правой кнопкой мыши на пользователя и выберите Properties. Перейдите на вкладку Account, в нижней части вкладки измените параметр Account expires (Истечение срока действия учетной записи) на End of: и выберите нужную дату. Нажмите OK, чтобы сохранить изменения.
Установка срока действия учетной записи с помощью Windows PowerShell
Чтобы установить срок действия учетной записи для пользователя в Employees OU, выполните следующий PowerShell скрипт:
Как проверить, заблокирована ли учётная запись пользователя?
Проверить, заблокирована ли учётная запись, можно в графической консоли ADUC или с помощью командлета Get-ADUser из модуля Active Directory для PowerShell:
Get-ADUser -Identity Alex -Properties LockedOut,DisplayName | Select-Object samaccountName,displayName,Lockedout
Учётная запись в данный момент заблокирована и не может использоваться для аутентификации в домене (Lockedout = True).
Вы можете вывести список всех заблокированных на данный момент учётных записей в домене с помощью командлета Search-ADAccount:
Search-ADAccount -LockedOut
Вы можете разблокировать учётную запись вручную с помощью консоли ADUC, не дожидаясь автоматической разблокировки. Найдите учётную запись пользователя, щёлкните правой кнопкой мыши и выберите Properties («Свойства»). Перейдите на вкладку Account («Учётная запись») и установите флажок Unlock account. This account is currently locked out on this Active Directory Domain Controller (в русскоязычной версии «Разблокируйте учётную запись. Учётная запись на этом контроллере домена Active Directoryв на данный момент заблокирована»). Затем кликните «ОК».
Вы также можете сразу разблокировать нужную учётную запись, используя следующую команду PowerShell:
Get-ADUser -Identity Alex | Unlock-ADAccount
Вы можете проверить время блокировки учётной записи, количество неудачных попыток ввода пароля, время последнего успешного входа в систему в свойствах учётной записи в консоли ADUC (на вкладке Attribute Editor «Редактора атрибутов»)
или с помощью PowerShell:
Get-ADUser Alex -Properties Name,lastLogonTimestamp,lockoutTime,logonCount,pwdLastSet | Select-Object Name,@{n='LastLogon';e={::FromFileTime($_.lastLogonTimestamp)}},@{n='lockoutTime';e={::FromFileTime($_.lockoutTime)}},@{n='pwdLastSet';e={::FromFileTime($_.pwdLastSet)}},logonCount