Admx.exe
Áttértünk a Resource Kit Group Policy Management Tools csoportjára, ahol ez a hasznos segédprogram (ADM File Parser a becsületes neve) egy komoly űrt tölt be. Két sablonállományt tudunk vele összehasonlítani, valamint egy tetszőleges sablonállományt tudunk szövegállományba lementeni. De nem ám a sima Export List, mint a Csoportházirend MMC-ben (amely gyakorlatilag a helyi menüben csak a helyet foglalja), hanem ténylegesen, kulcsokkal, beállításokkal, akár magyarázatokkal együttes exportot jelent. Nyilván nem helyettesíti, hanem kiegészíti a GPMC (Group Policy Management Console) nagyszerű lehetőségeit, mert hiszen ott is csak import van. Abban az esetben is jól jöhet a program, ha saját sablont gyártunk, hiszen egy kiexportált gyári sablon mintaként szolgálhat.
Ebben a csoportban összefuthatunk még az Inetesc.adm sablonnal is, ami az alapból igen szigorú IE Enhanced Security Configuration központi beállítását segíti elő.
Acctinfo.dll
Ha bemásoljuk a %systemroot%system32 mappába és a következő paranccsal beregisztráljuk ezt a dll-t,
regsvr32 c:windowssystem32acctinfo.dll
akkor egy plusz fül (Additional Account Info) fog megjelenni minden felhasználó tulajdonságlapján között az Active Directory Users and Computers MMC-ben. Ez az új fül tartalmazza pl. a felhasználó legutóbbi jelszóváltoztatásának, a jelszó lejáratának vagy a legutóbbi be- és kilépésének az időpontját.
Tudnunk kell viszont, hogy ha több szerveren is használni szeretnénk ezt a funkciót akkor mindegyikre be kell másolnunk illetve regisztráltatnunk az említett állományt. A fentiek mellett még jópár adat összegyűjthető a felhasználóról, de talán az ismerős dolgok mellett a User Account Control mező az ami a érdekes. Ez az érték felel meg az AD-ben beállítható olyan egyedi jellemzők számszerű összegének, mint pl. a kötelező SmartCard használat a belépésnél, a fiókletiltás érvénye, vagy pl. az, hogy a jelszóváltoztatás engedélyezett-e (ezeket ugyenezen a panelen az Account fülön, az Account options-nál pipálgathatjuk be egyesével). Így aztán, ha valaki ezen a panelen kicsit gyakorol a Decode gomb segítségével, ránézésre meg tudja majd mondani hogy ha a userAccountControl értéke 512 vagy esetleg 8192642 akkor az milyen következményekkel jár felhasználóra nézve :D. A panel jobb felső sarkában még egy hasznos dolgot vehetünk észre, ez pedig a Domain Password Policy információk.
Custreasonedit.exe
Ugye mindenki lefagyott egy pillanatra, mikor először akart újraindítani vagy leállítani egy Windows Server 2003-at? Igen, én is azt gondolom, hogy a Shutdown Event Tracker elsőre meglepő volt, azóta idegesítő. Szerencsére van hozzá a Csoportházirendben opció, így le lehet tiltani a megjelenését. De ha mélyebben belegondolunk van azért értelme ennek az új szolgáltatásnak, különösen a szervereken. Hiszen távollétünkben is bekövetkezhet újraindítás, amelyet nem biztos, hogy észreveszünk vagy éppen elvárják tőlünk, hogy jelentést/statisztikát nyújtsunk a leállásokról illetve újraindításokról. Ezen feladatok megoldásában valószínűleg segít rajtunk ez a szolgáltatás, hiszen egyrészt a nem kívánt újraindítások után rögvest feldobja az értesítő panelt az arra jogosult felhasználó belépésekor, illetve szorgalmasan gyűjti a bejegyzéseket a %systemroot%System32LogfilesShutdown mappában lévő XML állományba.
Ha viszont tényleg szükség van erre a szolgáltatásra és nem elégszünk meg az eredetileg definiált okokkal (amit a leállítás panel listájában látunk), akkor itt egy eszköz ennek a listának a testreszabására: a Custom Reason Editor. Beismerem, elsőre ez a bővítés/csere is elég perverz dolognak tűnik, de mégis, elképzelhető, hogy nagyon jól jön ez a lehetőség.
Az alkalmazás beüzemelése két lépésből áll. Először megkeressük a Samplereasons.reg állományt a Windows Resource Kits Tools mappából, és hozzáadjuk a registryhez a tartalmát pl. egy dupla kattintással. Ezzel a régi leállítás listánkat teljesen lecseréltük egy lényegesen bővebbre, amelyet még tovább szerkeszthetünk ezzel a parancssorból indítható, de a grafikus felületen működő alkalmazással, amelyet ezért célszerű interaktív módban elindítani (a /i kapcsolóval). Az eszköz azért parancssorban is tud egy-két extrát, pl. export/import funkcióval rendelkezik és az /L kapcsolóval indítva gyönyörűen kilistázza a már említett mappából a korábbi leállítással vagy újraindítással kapcsolatos eseményeket.
Lockoutstatus.exe
A végére maradt Account Lockout Status az előző eszközhöz hasonlóan egy hibrid képződmény: parancssorban kell elindítanunk de a GUI-n látjuk az eredményt. Ez az alkalmazás, azokat a felhasználók listázza ki, akiket a vonatkozó házirend alapján kizárt a rendszer. Nem szükséges több példányban telepítenünk a programot, mert a tartományon belüli összes tartományvezérlőről összegyűjti ezeket az információkat. A lekérdezni kívánt felhasználóra hivatkoznunk kell a parancsban, pl. így:
lockoutstatus /u:testdomaingipszj
A program az eredményben tételesen felsorolja a megvizsgált DC-ket, a kizárás tényét (ha ez a helyzet) és ezenkívül az elrontott jelszavak számát is.