如何在AD中方便查詢被鎖定的帳號狀態(tài)和特定條件的查詢被鎖定的帳號

背景

你們有沒有試過這樣一個情況，為了加強AD域的帳號安全，防止帳號被惡意的密碼枚舉，所以在AD域中設置了帳號鎖定的策略，當你設置了帳號鎖定策略之后，發(fā)現真的有很多的用戶反饋帳號用不了了，查看這個用戶的帳號時原來已經被鎖定了，這時肯定就需要解鎖。

目的

上了帳號鎖定策略后，才知道網絡中原來有這么多的不安全，為了能夠方便的批量為帳號解鎖，另外又想要做一些相關的帳號鎖定測試，方便的找出帳號鎖定的原因，下面教大家使用AD 管理工具以及小工具，查詢出在某個時間點之后被鎖定的帳號和單個帳號的狀態(tài)查詢，希望對大家有用。

LockoutStatus用戶狀態(tài)查詢小工具

下載地址：

http://www.microsoft.com/en-us/download/details.aspx?id=15201

在已經加入域的計算機上，以管理員的帳號登錄，并打開這個LockoutStatus 工具，如下圖：

單擊file-select Target

在彈出的窗口中，輸入帳號，以及當前的域名，然后單擊OK，即自動查詢所有的DC服務器（這個小工具就方便在這里，它會自動查詢所有的DC 服務器的日志）

正在查詢

查詢結果，可以看到這個用戶的User State 狀態(tài)為Not Locked ，即沒被鎖定，以及最后輸錯密碼的時間。當然還有輸錯的密碼次數等信息。

還可以利用這個工具直接解鎖用戶和重置密碼。真的很方便。

查詢某個時間點后被鎖定的用戶

注：以下例子為查詢2014年03月12日下午4點后被鎖定的用戶

打開ADUC管理工具，右擊保存查詢，然后新建一個查詢，如下圖：

然后在新建查詢的窗口中輸入該查詢的名稱，如：查詢某個時間點后被鎖定的用戶，以及定義要查詢的位置（定位到某個OU或域）

然后單擊“定義查詢”

然定義查詢的窗口中，查詢類型選擇“定義搜索”

然后單擊高級

在高級的框中輸入以下內容，以查詢2014年03月12日下午4點后被鎖定的用戶為例：

(objectclass=user)(lockouttime>=130390848000000000)

其中命令中的130390848000000000 數字需要進行轉換才能得到

時間的轉換請到以下網站進行自動轉換：

http://www.silisoftware.com/tools/date.php

如下圖：

20140312040000 為標準時間（注：比中國時間慢12小時，所以就轉換03月12日凌晨4點，轉換后就是下午4點），精準到時分秒，轉換成功后，復制FILETIME 的值出來，替換命令中的值即可

確認轉換的值是否正確：

打開CMD 命令行，輸入w32tm.exe /ntte 130390848000000000

如下圖，就是下午4點的格式了:

回到AD 查詢這里，再次確認查詢語句，然后單擊OK

再單擊OK

右擊剛新建的查詢，然后單擊刷新

立刻就可以看到這個時間點之被鎖定的用戶了，一共有32個這樣的帳號