Ugrađeni uređivač atributa objekata Active Directory u ADUC-u

Uređivač atributa integrirani je grafički alat za fino podešavanje svojstava AD objekata (korisnika, računala, grupa). Iz uređivača atributa možete dobiti i promijeniti vrijednosti atributa AD objekata koji nisu dostupni u svojstvima objekta u ADUC konzoli..

sadržaj:

  • Korištenje uređivača atributa u Active Directory Korisnici i na konzoli računala
  • Kartica uređivača atributa nije dostupna putem aktivnog pretraživanja direktorija

Ako se ne varam, ugrađeni uređivač atributa objekata Active Directory pojavio se u sustavu Windows Server 2008 R2. Prije toga morali ste koristiti mnogo manje prikladan uređivač ADSI uređivanja za uređivanje skrivenih svojstava AD objekata..

Korištenje uređivača atributa u Active Directory Korisnici i na konzoli računala

Dakle, za korištenje uređivača atributa AD potrebno je instalirati dodatak dsa.msc (ili ADUC - Korisnici aktivnog i aktivnog direktorija).

Pokušajte otvoriti svojstva bilo kojeg korisnika u AD-u. Kao što vidite, na raspolaganju je nekoliko kartica s atributima korisnika. Glavni su:

  • zajednička (Općenito) - glavna korisnička svojstva koja se postavljaju prilikom kreiranja računa u AD-u (ime, prezime, telefon, e-pošta itd.);
  • Adresa (Adresa);
  • račun (Account) - naziv računa (samAccountName, userPrincipalName). Ovdje možete odrediti popis računala na kojima korisnik smije raditi (LogonWorkstations), opcije: lozinka ne ističe, korisnik ne može promijeniti lozinku, je li omogućen račun i njegovo razdoblje valjanosti itd .;
  • profil (Profil) - možete konfigurirati put do korisničkog profila (u scenarijima s roaming profilima); skripta koja se izvršava pri unosu, kućna mapa, mrežni pogon;
  • Telefoni (telefoni);
  • organizacija (Organizacija) - položaj, odjel, korisnička tvrtka, naziv menadžera.

U ovom prozoru vam je dostupan samo osnovni skup korisničkih svojstava, iako Korisnička klasa u AD-u ima mnogo više atributa (200+).

Da biste prikazali napredni uređivač atributa, morate omogućiti opciju u izborniku ADUC pogled -> Napredne značajke (Pregled -> Dodatne komponente).

Sada ponovo otvorite korisnička svojstva i primijetite da se pojavila zasebna kartica Uređivač atributa. Ako ga otvorite, vidjet ćete istog uređivača atributa AD korisnika. Ova tablica sadrži popis svih AD korisničkih atributa i njihovih značenja. Možete kliknuti bilo koji atribut i promijeniti njegovu vrijednost. Na primjer, mijenjanjem vrijednosti atributa odjel vidjet ćete da se naziv odjela u korisničkim svojstvima na kartici Organizacija odmah promijenio.

Iz uređivača atribut može kopirati vrijednost polja greatName (u formatu CN = Sergey A. Ivanov, OU = Korisnici, OU = Msk, DC = winitpro, DC = ru - jedinstveno ime objekta u AD-u), CN (uobičajeni naziv) i saznati datum stvaranja račun (kada se kreira), itd..

Na dnu prozora AD Atitor Editor nalazi se gumb Filter. Prema prozoru u prozoru atributa prikazani su samo neprazni atributi (opcija je omogućena Prikaži samo atribute koji imaju vrijednosti). Ako onemogućite ovu opciju, svi atributi User klase prikazat će se u konzoli. Također obratite pozornost na opciju Pokaži samo atribute koji se mogu pisati. Ako ga omogućite, bit će vam dostupni samo oni atributi kojima je prebačeno pravo uređivanja (ako nemate dozvolu za promjenu atributa ovog korisnika, popis atributa bit će prazan).

Većina atributa AD ima ugrađenu funkciju dekodiranja vrijednosti. Na primjer:

  • možete pronaći podatke o korisnikovom zadnjem ulasku u domenu - atribut lastLogonTimestamp (kao što možete vidjeti na konzoli uređivača atributa, vrijeme se prikazuje u normalnom obliku, ali ako kliknete na njega, vidjet ćete da je vrijeme zapravo pohranjeno u obliku vremenske oznake);
  • status računa pohranjuje se u atribut userAccountControl. Umjesto bitmaske, vidjet ćete prikladniji prikaz. Na primjer, 0x200 = (NORMAL_ACCOUNT) umjesto broja 512;
  • međutim, korisnikova fotografija u AD-u (atribut thumbnailPhoto) nije prikazana i pohranjena je u binarnom obliku;

Kartica uređivača atributa nije dostupna putem aktivnog pretraživanja direktorija

Glavni nedostatak uređivača atributa AD, ne otvara se u svojstvima objekta, ako ste ga pronašli pretraživanjem (zašto se to radi - ne razumijem). Za upotrebu uređivača atributa morate proširiti spremnik (OU) u stablu AD u kojem se objekt nalazi, pronaći željeni objekt na popisu i otvoriti njegova svojstva (sve je to neugodno).

Za sebe sam pronašao mali life hack koji vam i dalje omogućuje otvaranje uređivača korisničkih atributa pronađeno pretragom u ADUC konzoli..

Dakle:

  1. Koristite pretragu da biste pronašli pravog korisnika;
  2. Idite na karticu s popisom grupa korisnika (Član od);
  3. Otvorite jednu od grupa (poželjno je da ima što manje korisnika);
  4. U svojstvima grupe idite na karticu s članovima grupe (član) i zatvorite (!) Prozor korisničkih svojstava;
  5. Sada na popisu članova grupe kliknite svog korisnika i vidjet ćete prozor korisničkih svojstava s karticom Uređivač atributa.

Također možete otvoriti uređivač atributa korisnika bez da ga ručno odaberete u stablu AD putem spremljenih upita na ADUC konzoli.

Ili možete koristiti Active Directory Administrativni centar u kojem je kartici za uređivač atributa korisnika (računalo) dostupan čak i pretraživanjem (kartica Proširenja).

Umjesto uređivača atributa možete koristiti PowerShell cmdlete za pregled i uređivanje svih atributa korisnika, grupa i računala:

Pogledajte vrijednosti svih atributa objekata:

  • korisnik: Korisničko ime Get-ADUser -Properties *
  • PC: Get-AD Računalo ime računala -Svojstva *
  • grupe: Get-ADGroup group name - Svojstva *

Za promjenu atributa objekata u AD-u, cmdleti se koriste u skladu s tim Set-ADUser, Set-ADComputer i Set-adgroup.