W2K3 Resource Kit Tools III.
2004/11/08 12:09
717 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
Van másik? Van, de azért ez egyelőre nagyon más(ik). Per pillanat a "Do more with less" jelmondat szó szerint érvényesül az új gyári segédprogram gyűjteményének tekintetében.

Admx.exe

Áttértünk a Resource Kit Group Policy Management Tools csoportjára, ahol ez a hasznos segédprogram (ADM File Parser a becsületes neve) egy komoly űrt tölt be. Két sablonállományt tudunk vele összehasonlítani, valamint egy tetszőleges sablonállományt tudunk szövegállományba lementeni. De nem ám a sima Export List, mint a Csoportházirend MMC-ben (amely gyakorlatilag a helyi menüben csak a helyet foglalja), hanem ténylegesen, kulcsokkal, beállításokkal, akár magyarázatokkal együttes exportot jelent. Nyilván nem helyettesíti, hanem kiegészíti a GPMC (Group Policy Management Console) nagyszerű lehetőségeit, mert hiszen ott is csak import van. Abban az esetben is jól jöhet a program, ha saját sablont gyártunk, hiszen egy kiexportált gyári sablon mintaként szolgálhat.
Ebben a csoportban összefuthatunk még az Inetesc.adm sablonnal is, ami az alapból igen szigorú IE Enhanced Security Configuration központi beállítását segíti elő.

Acctinfo.dll

Ha bemásoljuk a %systemroot%system32 mappába és a következő paranccsal beregisztráljuk ezt a dll-t,

regsvr32 c:windowssystem32acctinfo.dll

akkor egy plusz fül (Additional Account Info) fog megjelenni minden felhasználó tulajdonságlapján között az Active Directory Users and Computers MMC-ben. Ez az új fül tartalmazza pl. a felhasználó legutóbbi jelszóváltoztatásának, a jelszó lejáratának vagy a legutóbbi be- és kilépésének az időpontját.
Egy pillantással is lehet sokat látni Tudnunk kell viszont, hogy ha több szerveren is használni szeretnénk ezt a funkciót akkor mindegyikre be kell másolnunk illetve regisztráltatnunk az említett állományt. A fentiek mellett még jópár adat összegyűjthető a felhasználóról, de talán az ismerős dolgok mellett a User Account Control mező az ami a érdekes. Ez az érték felel meg az AD-ben beállítható olyan egyedi jellemzők számszerű összegének, mint pl. a kötelező SmartCard használat a belépésnél, a fiókletiltás érvénye, vagy pl. az, hogy a jelszóváltoztatás engedélyezett-e (ezeket ugyenezen a panelen az Account fülön, az Account options-nál pipálgathatjuk be egyesével). Így aztán, ha valaki ezen a panelen kicsit gyakorol a Decode gomb segítségével, ránézésre meg tudja majd mondani hogy ha a userAccountControl értéke 512 vagy esetleg 8192642 akkor az milyen következményekkel jár felhasználóra nézve :D. A panel jobb felső sarkában még egy hasznos dolgot vehetünk észre, ez pedig a Domain Password Policy információk. Gyors tájékozódás a jelszóházirendben

Custreasonedit.exe

Ugye mindenki lefagyott egy pillanatra, mikor először akart újraindítani vagy leállítani egy Windows Server 2003-at? Igen, én is azt gondolom, hogy a Shutdown Event Tracker elsőre meglepő volt, azóta idegesítő. Szerencsére van hozzá a Csoportházirendben opció, így le lehet tiltani a megjelenését. De ha mélyebben belegondolunk van azért értelme ennek az új szolgáltatásnak, különösen a szervereken. Hiszen távollétünkben is bekövetkezhet újraindítás, amelyet nem biztos, hogy észreveszünk vagy éppen elvárják tőlünk, hogy jelentést/statisztikát nyújtsunk a leállásokról illetve újraindításokról. Ezen feladatok megoldásában valószínűleg segít rajtunk ez a szolgáltatás, hiszen egyrészt a nem kívánt újraindítások után rögvest feldobja az értesítő panelt az arra jogosult felhasználó belépésekor, illetve szorgalmasan gyűjti a bejegyzéseket a %systemroot%System32LogfilesShutdown mappában lévő XML állományba.
Szerkesztőmunka a helyi gépen (a Connect-tel viszont más géphez is kapcsolódhatunk) Ha viszont tényleg szükség van erre a szolgáltatásra és nem elégszünk meg az eredetileg definiált okokkal (amit a leállítás panel listájában látunk), akkor itt egy eszköz ennek a listának a testreszabására: a Custom Reason Editor. Beismerem, elsőre ez a bővítés/csere is elég perverz dolognak tűnik, de mégis, elképzelhető, hogy nagyon jól jön ez a lehetőség.

Az alkalmazás beüzemelése két lépésből áll. Először megkeressük a Samplereasons.reg állományt a Windows Resource Kits Tools mappából, és hozzáadjuk a registryhez a tartalmát pl. egy dupla kattintással. Ezzel a régi leállítás listánkat teljesen lecseréltük egy lényegesen bővebbre, amelyet még tovább szerkeszthetünk ezzel a parancssorból indítható, de a grafikus felületen működő alkalmazással, amelyet ezért célszerű interaktív módban elindítani (a /i kapcsolóval). Az eszköz azért parancssorban is tud egy-két extrát, pl. export/import funkcióval rendelkezik és az /L kapcsolóval indítva gyönyörűen kilistázza a már említett mappából a korábbi leállítással vagy újraindítással kapcsolatos eseményeket.
Íme az eredmény a megjelenésben

Lockoutstatus.exe

A végére maradt Account Lockout Status az előző eszközhöz hasonlóan egy hibrid képződmény: parancssorban kell elindítanunk de a GUI-n látjuk az eredményt. Ez az alkalmazás, azokat a felhasználók listázza ki, akiket a vonatkozó házirend alapján kizárt a rendszer. Nem szükséges több példányban telepítenünk a programot, mert a tartományon belüli összes tartományvezérlőről összegyűjti ezeket az információkat. A lekérdezni kívánt felhasználóra hivatkoznunk kell a parancsban, pl. így:

lockoutstatus /u:testdomaingipszj

A program az eredményben tételesen felsorolja a megvizsgált DC-ket, a kizárás tényét (ha ez a helyzet) és ezenkívül az elrontott jelszavak számát is.

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE pilot Program iskoláknak a bullying ellen
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek