大家知道，我们可以通过查看用户属性来得知账户是否被锁。但这是一个非常繁琐的查找工作 ！一般来说，如果没有用户告诉你他的账户被锁定了，我们要想得知哪些账户被锁定是比较麻烦的。今天我们就来看如何通过LDAP Query 来快速查询出被锁的账户。 熟悉AD管理的朋友都应该知道，我们可以通过系统内建的查询来找到哪些账户被禁用。有人就会说：“系统并没有内建查找锁定的账户呀！”系统没建，那我们就自己建，呵呵 。我们只需查看user类的Lockouttime属性就可得知账户是否被锁。 先新建一个自定义查询，输入以下LDAP查询语句就可以轻松查出被锁定的用户账户了：

&((objectclass=user)(lockouttime>=1))

建好以后它会被自动保存在“保存的查询 ”中，每次要使用时只需刷新一下就OK了。 以上方法是否非常简单实用呢？大家还可以将以上方法自己变通，进行其它的查询。 对于账户的锁定，我们还有一个非常实用也非常强大的工具——Lockoutstatus 。它的语法非常简单，只有一个/u 的参数，但它却可以让我们得到更多的账户锁定信息。我们可以通过它看到某个账户的锁定状态、输错密码的次数、锁定此账户的DC等等。更为强大的是，我们可以直接使用它对账户进行解锁、重设密码等操作。