Windows Server 2003 Active Directory 환경에서 사용자 계정 잠금 현상에 대해 분석하는 방법에 대해서 계속해서 포스팅이 어이집니다. 앞서 EventCombMT 을 사용하여 계정 잠금이 발생하였을 때 이벤트 로그를 쉽게 필터링하여 검색하는 방법에 대해서 정리하였습니다. (참고자료에 링크 걸어 두었습니다. - 친절한 라이고)
이번 주제는 앞서 정리했던 Account Lockout Tools(Altools.exe)에 포함되어 있는 AcctInfo.dll tool 을 사용하여 Active Directory 사용자 및 컴퓨터 MMC 스냅인에서 확장된 User objects 페이지를 볼 수 있는 방법을 정리했습니다.
이걸 어떤 경우에 사용할 수 있을까요?
실제 해당 계정에 어떠한 패스워드 정책이 부여되어 있는지 이 툴을 사용하여 눈으로 볼 수 있습니다.
설치 방법? 간단히 해당 dll 파일을 서버에 등록해 주시면 됩니다.
C:\> REGSVR32 C:\Windows\system32\acctinfo.dll
그리고 Active Directory 사용자 및 컴퓨터 MMC 스냅인을 실행하고 정보를 확인할 사용자 계정을 선택한 후 '속성' 버튼을 클릭하면 아래와 같이 확장된 'Additional Account Info' 페이지가 추가되어 있음을 확인할 수 있습니다.
여기서 주목해야 할 부분은 'Domain PW Info...' 버튼을 클릭하면 그림 상단에 있는 'Domain Password Policy' 상자가 화면에 나타나게 됩니다. 실제 해당 계정에 대해서 도메인 보안 정책이 어떻게 반영되어 있는지 확인할 수 있습니다.
계정 잠금 기간 : 30분
다음 시간 후 계정 잠금 수를 원래대로 설정 : 15분
계정 잠금 임계값 : 10번의 잘못된 로그온 시도
최근 암호 기억 : 1
최소 암호 길이 : 6
추가적으로 도메인 컨트롤러로부터 정책을 부여 받은 클라이언트라면 시작 - 실행 - rsop.msc 명령을 통해 "정책 집합 결과"를 확인하여 적용된 보안 정책을 확인해 볼 수도 있습니다.
[참고자료]
Account Lockout - EventCombMT
Account Lockout Tools
작성자 : Lai Go / 작성일자 : 2009.04.15