因公司网络有客户端中了W32.Downadup病毒，此病毒会不停使用AD账户和不同密码组合尝试访问，公司域中有使用组策略，密码输入错误三次将锁定账号，从而导致很多AD账户被锁定。Active Directory用户和计算机无法直接对多个账户同时解锁，如果一个个解，账户多的时候，简直要崩溃。。。

下面介绍两种批量解锁方法：

一、使用Dsquery和Dsmod命令批量解锁

dsquery命令可以查询出某个OU及子OU所有的账户。dsmod命令没有解锁账户的参数，但是对AD账户进行启用账户操作，可以使用锁定的账户解锁。

下列范例域名为Contoso.internal，所有用户账户建立在"People”OU及子OU下。

1、利用dsquery user查询出"People”OU及子OU下所有账户，开始--》命令提示符，输入下面命令：

 dsquery user  "OU=People,DC=Contoso,DC=internal"

 

2、使用dsmod解锁单个账户，下面的命令解锁Jeff Ford账户：

dsmod user "CN=Jeff Ford,OU=People,DC=Contoso,DC=internal
" -Disabled no

 

3、我们可以结合dsquery和dsmod命令进行批量解锁"People"OU及子OU下的AD账户：

dsquery user  "OU=People,DC=Contoso,DC=internal" | dsmod
user -Disabled no

 

4、我们打开Active Directory用户和计算机查看，就可以发现所有锁定状态的账户全部解锁了，是不是很爽？不再需要一个一个解得的你抓狂了！

在日常的AD管理中，特别是大中型AD环境中，我们可以利用qsusery和qsmod命令批量对AD做很多操作，非常方便和高效率。

 

二、使用Active Directory用户和计算机批量解锁

使用筛选器在Active Directory用户和计算机中筛选出锁定的账户，然后对所有筛选出的账户进行禁用账户和启用账户操作，从而批量解锁。具体操作步骤如下：

1、打开Active Directory用户和计算机，单击"Contoso.internal"域；

2、单击“在Active Directory域服务中查找对象”按钮,出现查找 自定义搜索窗口，“查找”选择为“自定义搜索”，选择“高级”，在“输入LDAP查询”中输入：(objectclass=user)(lockouttime>=1)，然后单击“开始查找”按钮，搜索结果窗口中将出现整个域中被锁定的账号；

 

4、在搜索结果中选择所账户，单击鼠标右键，选择“禁用账户”，单击“确定”后，再单击鼠标右键，选择“启用菜单”；

 

5、关闭“查找 自定义搜索”窗口后，我们查看April stewartt和Jeff Ford账户已经被解锁了。

 

 

阅读更多

更多精彩内容