Как найти информацию о сервере блокировки Orig в LockoutStatus

В документации для LockoutStatus это поле определяется следующим образом:

Orig Lock: отображает контроллер домена, заблокировавший учетную запись (контроллер домена, который произвел исходную запись в атрибут LockoutTime для этого пользователя).

Вы можете получить доступ к свойствам атрибута из метаданных репликации.

$LockedAccount=Get-ADUser [username here - no quotes needed]
$LockedObjectPath=$LockedAccount.DistinguishedName
$DomainController=([system.directoryservices.activedirectory.domain]::GetCurrentDomain()).DomainControllers[0].Name
$LockoutReplicationRecord=Get-ADReplicationAttributeMetadata -object "$LockedObjectPath" -server $DomainController | where {$_.AttributeName -eq "lockoutTime"}
Write-Host "$($LockoutReplicationRecord.LastOriginatingChangeDirectoryServerIdentity)"

Разберите в этой строке только имя сервера.

Я делаю это в домене 2012 года, но думаю, что весь этот код работает и в 2008 году. До сих пор все тестовые примеры, которые я пробовал, были заблокированы сервером с ролью FSMO, поэтому я не уверен, что это даст ожидаемый результат. Похоже, у вас есть отличная среда, чтобы попробовать. Этот код просто берет первый контроллер домена в списке, и я предполагаю, что вы будете перебирать их все, чтобы узнать количество неверных паролей для каждого из них. В этом случае замените любую переменную, которую вы уже используете, если это имя сервера в текстовом формате (не обязательно должно быть полное доменное имя, как в этом коде)

Я не могу подтвердить, что это та же информация, что и LockoutStatus.exe, но для запуска требуется такое же количество времени, и для меня результат совпал.