Vestavěný editor atributů objektů služby Active Directory v ADUC

Editor atributů je integrovaný grafický nástroj pro jemné doladění vlastností objektů AD (uživatelé, počítače, skupiny). Z editoru atributů můžete získat a změnit hodnoty atributů objektů AD, které nejsou dostupné ve vlastnostech objektu v konzole ADUC..

Obsah:

  • Použití editoru atributů v Active Directory Users and Computer Console
  • Karta Editor atributů není k dispozici prostřednictvím vyhledávání Active Directory

Pokud se nemýlím, v systému Windows Server 2008 R2 se objevil integrovaný editor atributů služby Active Directory. Předtím jste museli použít mnohem méně pohodlný editor ADSI Edit pro úpravu skrytých vlastností objektů AD..

Použití editoru atributů v Active Directory Users and Computer Console

Chcete-li použít editor atributů AD, musíte nainstalovat modul snap-in dsa.msc (nebo ADUC - uživatelé a počítač služby Active Directory).

Zkuste otevřít vlastnosti libovolného uživatele v AD. Jak vidíte, je k dispozici několik karet s uživatelskými atributy. Mezi hlavní patří:

  • Generále (Obecné) - hlavní vlastnosti uživatele, které se nastavují při vytváření účtu v AD (jméno, příjmení, telefon, e-mail atd.);
  • Adresa (Adresa);
  • Účet (Account) - název účtu (samAccountName, userPrincipalName). Zde můžete určit seznam počítačů, na kterých má uživatel povoleno pracovat (LogonWorkstations), možnosti: heslo nevyprší, uživatel nemůže změnit heslo, zda je účet povolen a doba jeho platnosti atd .;
  • Profil (Profil) - můžete nakonfigurovat cestu k uživatelskému profilu (ve scénářích s cestovními profily); skript, který se provádí při vstupu, domovská složka, síťová jednotka;
  • Telefony (Telefony);
  • Organizace (Organizace) - pozice, oddělení, uživatelská společnost, jméno manažera.

V tomto okně máte k dispozici pouze základní sadu uživatelských vlastností, i když třída User v AD má mnohem více atributů (200+).

Chcete-li zobrazit editor pokročilých atributů, musíte povolit možnost v nabídce ADUC Zobrazit -> Pokročilé funkce (Zobrazit -> Další komponenty).

Nyní znovu otevřete uživatelské vlastnosti a všimněte si, že se objevila samostatná karta Editor atributů. Pokud se k tomu dostanete, uvidíte stejný editor atributů uživatele služby AD. Tato tabulka obsahuje seznam všech atributů uživatele AD a jejich významů. Můžete kliknout na libovolný atribut a změnit jeho hodnotu. Například změnou hodnoty atributu oddělení uvidíte, že se název oddělení ve vlastnostech uživatele na kartě Organizace okamžitě změnil.

Z editoru lze atributem zkopírovat hodnotu pole rozlišovacího jména (ve formátu CN = Sergey A. Ivanov, OU = Users, OU = Msk, DC = winitpro, DC = ru - jedinečný název objektu v AD), CN (Common Name), zjistit datum vytvoření účet (při vytvoření) atd..

Ve spodní části okna Editoru atributů AD je tlačítko Filtr. Ve výchozím nastavení jsou v okně atributů zobrazeny pouze neprázdné atributy (volba je povolena) Zobrazit pouze atributy, které mají hodnoty) Pokud tuto možnost zakážete, budou v konzole zobrazeny všechny atributy třídy User. Také věnujte pozornost možnosti Zobrazit pouze zapisovatelné atributy. Pokud to povolíte, budou vám k dispozici pouze ty atributy, na které jste přenesli právo na úpravy (pokud nemáte oprávnění měnit atributy tohoto uživatele, seznam atributů bude prázdný).

Většina atributů AD má vestavěnou funkci dekódování hodnot. Například:

  • najdete informace o posledním vstupu uživatele do domény - atribut lastLogonTimestamp (jak můžete vidět v konzole editoru atributů, čas se zobrazuje v normální podobě, ale pokud na něj kliknete, uvidíte, že čas je ve skutečnosti uložen ve formě časového razítka);
  • stav účtu je uložen v atributu userAccountControl. Místo bitmasky vidíte pohodlnější pohled. Například 0x200 = (NORMAL_ACCOUNT) místo číslice 512;
  • fotografie uživatele v AD (atribut thumbnailPhoto) se však nezobrazí a je uložena v binární podobě;

Karta Editor atributů není k dispozici prostřednictvím vyhledávání Active Directory

Hlavní nevýhoda editoru atributů AD, neotevře se ve vlastnostech objektu, pokud jste ho našli při hledání (proč se tak děje - nerozumím). Chcete-li použít Editor atributů, musíte rozbalit kontejner (OU) ve stromu AD, ve kterém je objekt umístěn, najít požadovaný objekt v seznamu a otevřít jeho vlastnosti (to vše je velmi nepříjemné).

Pro sebe jsem našel malý životný hack, který vám stále umožňuje otevřít editor atributů uživatele nalezený vyhledáváním v konzole ADUC.

Takže:

  1. Použijte vyhledávání k nalezení správného uživatele;
  2. Přejděte na kartu se seznamem skupin uživatelů (člen);
  3. Otevřete jednu ze skupin (je žádoucí, aby měla co nejméně uživatelů);
  4. Ve vlastnostech skupiny přejděte na kartu se členy skupiny (Člen) a zavřete (!) Okno vlastností uživatele;
  5. Nyní v seznamu členů skupiny klikněte na svého uživatele a zobrazí se okno vlastností uživatele s kartou Editor atributů.

Editor uživatelských atributů můžete také otevřít, aniž byste jej ručně vybrali ve stromu AD pomocí uložených dotazů v konzole ADUC.

Nebo můžete použít administrativní centrum Active Directory, ve kterém je karta editoru atributů uživatele (počítače) přístupná i prostřednictvím vyhledávání (karta rozšíření).

Místo editoru atributů můžete použít rutiny PowerShell k prohlížení a úpravě všech atributů uživatelů, skupin a počítačů:

Zobrazit hodnoty všech atributů objektů:

  • Uživatel: Uživatelské jméno Get-ADUser -Properties *
  • Počítač: Get-ADСomputer computername -Properties *
  • Skupiny: Get-ADGroup groupname -Properties *

Ke změně atributů objektů v AD se používají odpovídajícím způsobem rutiny cmdlet Set-aduser, Set-adcomputer a Set-adgroup.

Kategorie