Определение состояния пользователя в AD - заблокирован/выключен
Итак есть атрибут userAccountControl И вроде бы у него есть все нужные биты (флаги): PASSWORD_EXPIRED 0x800000 LOCKOUT 0x0010 ACCOUNTDISABLE 0x0002 Выключаем пользователя и видим что флаг ACCOUNTDISABLE установлен. Теперь вводин несколько раз (согласно политике) неправильный пароль, и видим что флаг LOCKOUT не установлен. При этом атрибут lockoutTime имеет не нулевое значение, что указывает на то что учетная запись таки заблокировалась. Так вот, с Windows 2003 есть еще один атрибут: msDS-User-Account-Control-Computed И в нем флаг LOCKOUT установлен. Вот по нему (или по lockoutTime ) и можно ориентироваться.