Beépített Active Directory objektum-attribútumszerkesztő az ADUC-ban

Az Attribute Editor egy integrált grafikus eszköz az AD objektumok (felhasználók, számítógépek, csoportok) tulajdonságainak finomhangolására. Az attribútumok szerkesztőjéből lehet megszerezni és megváltoztatni az AD objektumok azon tulajdonságainak értékeit, amelyek az ADUC konzol objektumtulajdonságaiban nem állnak rendelkezésre..

Tartalom:

  • Az Attribútum-szerkesztő használata az Active Directory - felhasználók és a számítógépes konzolban
  • Az Attribútumszerkesztő lap nem érhető el az Active Directory keresés során

Ha nem tévedek, a beépített Active Directory objektum-attribútumszerkesztő megjelent a Windows Server 2008 R2-ben. Ezt megelőzően a sokkal kevésbé kényelmes ADSI Szerkesztő szerkesztőt kellett használnia az AD objektumok rejtett tulajdonságainak szerkesztéséhez..

Az Attribútum-szerkesztő használata az Active Directory - felhasználók és a számítógépes konzolban

Tehát az AD attribútumszerkesztő használatához telepítenie kell a dsa.msc beépülő modult (vagy az ADUC - Active Directory felhasználói és számítógépe).

Próbáljon meg megnyitni bármely felhasználó tulajdonságait az AD-ben. Mint láthatja, számos felhasználói attribútumokkal rendelkező lap érhető el. A főbbek a következők:

  • közös (Általános) - a fő felhasználói tulajdonságok, amelyeket a fiók létrehozásakor állítanak be AD-ben (név, vezetéknév, telefon, e-mail stb.);
  • A cím (Cím);
  • számla (Fiók) - fióknév (samAccountName, userPrincipalName). Itt megadhatja azon számítógépek listáját, amelyeken a felhasználó működhet (LogonWorkstations), opciók: a jelszó nem jár lejártával, a felhasználó nem tudja megváltoztatni a jelszót, a fiók engedélyezve van és érvényességi ideje stb .;
  • profil (Profil) - konfigurálhatja a felhasználói profil elérési útját (barangoló profilokkal rendelkező forgatókönyvek esetén); a belépéskor végrehajtott szkript, az otthoni mappa, a hálózati meghajtó;
  • Telefonok (Telefonok);
  • szervezet (Szervezet) - beosztás, osztály, felhasználói cég, menedzser neve.

Ebben az ablakban csak az alapvető felhasználói tulajdonságok állnak rendelkezésre, bár az AD felhasználói osztálya sokkal több attribútummal rendelkezik (200+).

A speciális attribútumszerkesztő megjelenítéséhez engedélyeznie kell az opciót az ADUC menüben kilátás -> Speciális szolgáltatások (Nézet -> További alkatrészek).

Most nyissa meg újra a felhasználói tulajdonságokat, és vegye figyelembe, hogy külön lap jelenik meg Attribútum-szerkesztő. Ha megy rá, ugyanazt az AD felhasználói attribútum-szerkesztőt fogja látni. Ez a táblázat tartalmazza az összes AD felhasználói attribútumot és azok jelentését. Bármelyik attribútumra kattinthat, és megváltoztathatja annak értékét. Például, ha megváltoztatja az osztály attribútum értékét, látni fogja, hogy a szervezet fülön a felhasználói tulajdonságokban az osztály neve azonnal megváltozott..

A szerkesztőből az attribútum lemásolhatja a megkülönböztetett név mező értékét (CN = Szergej A. Ivanov, OU = Felhasználók, OU = Msk, DC = winitpro, DC = ru - az objektum egyedi neve AD-ben), CN (általános név), megtudja a létrehozás dátumát számla (amikor létrehozva) stb..

Az AD Attribútum-szerkesztő ablak alján található egy Szűrő gomb. Alapértelmezés szerint csak a nem üres attribútumok jelennek meg az attribútumok ablakban (az opció engedélyezve van Csak olyan attribútumok megjelenítése, amelyeknek értéke van). Ha letiltja ezt az opciót, a Felhasználói osztály összes attribútuma megjelenik a konzolban. Vegye figyelembe a lehetőséget Csak az írható attribútumok megjelenítése. Ha engedélyezi, akkor csak azok a tulajdonságok érhetők el, amelyek szerkesztési jogát felhatalmazták (ha nincs engedélyed a felhasználó attribútumainak megváltoztatására, akkor az attribútumok listája üres).

A legtöbb AD attribútum beépített érték dekódoló funkcióval rendelkezik. Például:

  • információkat talál a felhasználó utolsó, a domainbe történő belépéséről - a lastLogonTimestamp attribútumról (amint azt az attribútumszerkesztő konzoljában láthatja, az idő normál formában jelenik meg, de ha rákattint, látni fogja, hogy az idő ténylegesen időbélyeg formájában van tárolva);
  • A fiók állapotát a userAccountControl attribútum tárolja. A bitmaszk helyett egy kényelmesebb nézetet lát. Például 0x200 = (NORMAL_ACCOUNT) az 512 szám helyett;
  • azonban a felhasználói fotó AD-ben (az thumbnailPhoto attribútum) nem jelenik meg, és bináris formában tárolódik;

Az Attribútumszerkesztő lap nem érhető el az Active Directory keresés során

Az AD attribútumszerkesztő fő hátránya, hogy nem nyílik meg az objektum tulajdonságaiban, ha kereséssel találta meg (miért történik ez - nem értem). Az Attribútum-szerkesztő használatához ki kell bontsa a tárolót (OU) abban az AD-fában, amelyben az objektum található, megtalálja a kívánt objektumot a listában, és nyissa meg annak tulajdonságait (mindez vadul kellemetlen).

A saját magam számára találtam egy kis életcsapást, amely továbbra is lehetővé teszi az ADUC-konzolon végzett keresés során található felhasználói attribútum-szerkesztő megnyitását..

Tehát:

  1. Használja a keresést a megfelelő felhasználó megtalálásához;
  2. Lépjen a lapra a felhasználói csoportok listájával (Tagja);
  3. Nyissa meg az egyik csoportot (kívánatos, hogy lehetőleg kevesebb felhasználóval rendelkezzen);
  4. A csoporttulajdonságokban lépjen a lapra a csoporttagokkal (Tag), és zárja be (!) A felhasználói tulajdonságok ablakot;
  5. Most, a csoporttagok listájában kattintson a felhasználóra, és megjelenik a felhasználói tulajdonságok ablaka az Attribútum-szerkesztő lapon.

A felhasználói attribútum-szerkesztőt úgy is megnyithatja, hogy manuálisan nem választja ki azt az AD-fában az ADUC-konzolon tárolt lekérdezésekkel.

Vagy használhatja az Active Directory adminisztrációs központot, amelyben a felhasználói (számítógép) attribútumszerkesztő lapja kereséssel is elérhető (bővítmény fül).

Az Attribútumszerkesztő helyett a PowerShell-parancsmagokkal megtekintheti és szerkesztheti a felhasználók, csoportok és számítógépek összes attribútumát:

Tekintse meg az objektumok összes attribútumának értékeit:

  • felhasználói: Get-ADUser felhasználónév -Properties *
  • PC: Get-ADСomputer számítógépnév - Tulajdonságok *
  • csoport: Get-ADGroup csoportnév - Tulajdonságok *

Az AD objektumok attribútumainak megváltoztatásához a parancsmagokat ennek megfelelően kell használni Set-ADUser, Set-ADComputer és Set-adgroup.