Vgrajen urejevalnik atributov predmeta Active Directory v ADUC

Urejevalnik atributov je integrirano grafično orodje za natančno nastavitev lastnosti objektov AD (uporabnikov, računalnikov, skupin). Iz urejevalnika atributov lahko dobite in spremenite vrednosti atributov objektov AD, ki niso na voljo v lastnostih objektov v konzoli ADUC.

Vsebina:

  • Uporaba urejevalnika atributov v uporabniku Active Directory Uporabniki in računalniški konzoli
  • Kartica urejevalnika atributov ni na voljo prek aktivnega iskanja v imeniku

Če se ne motim, se je v Windows Server 2008 R2 pojavil vgrajeni urejevalnik atributov Active Directory Object Attribute. Pred tem ste morali za urejanje skritih lastnosti objektov AD uporabiti veliko manj priročen urejevalnik ure ADSI..

Uporaba urejevalnika atributov v uporabniku Active Directory Uporabniki in računalniški konzoli

Če želite uporabljati urejevalnik atributov AD, morate namestiti vtičnik dsa.msc (ali ADUC - Uporabniki in računalnik Active Directory).

Poskusite odpreti lastnosti katerega koli uporabnika v oglasu. Kot vidite, je na voljo več zavihkov z uporabniškimi atributi. Glavne so:

  • Splošno (Splošno) - glavne lastnosti uporabnika, ki so nastavljene pri ustvarjanju računa v AD-ju (ime, priimek, telefon, e-pošta itd.);
  • Naslov (Naslov);
  • Račun (Račun) - ime računa (samAccountName, userPrincipalName). Tu lahko določite seznam računalnikov, na katerih lahko uporabnik dela (LogonWorkstations), možnosti: geslo ne poteče, uporabnik ne more spremeniti gesla, ali je račun omogočen in čas njegove veljavnosti itd .;
  • Profil (Profil) - lahko konfigurirate pot do uporabniškega profila (v scenarijih z gostujočimi profili); skript, ki se izvrši ob vnosu, domača mapa, omrežni pogon;
  • Telefoni (Telefoni);
  • Organizacija (Organizacija) - položaj, oddelek, uporabniško podjetje, ime vodje.

V tem oknu vam je na voljo samo osnovni niz uporabniških lastnosti, čeprav ima razred uporabnikov v AD veliko več atributov (200+).

Za prikaz naprednega urejevalnika atributov morate v meniju ADUC omogočiti možnost Pogled -> Napredne funkcije (Pogled -> Dodatne komponente).

Zdaj znova odprite uporabniške lastnosti in opazite, da se je prikazal ločen zavihek Urejevalnik atributov. Če greste nanjo, boste videli istega urejevalnika atributov AD. Ta tabela vsebuje seznam vseh atributov AD in njihovih pomenov. Lahko kliknete kateri koli atribut in spremenite njegovo vrednost. Na primer, če spremenite vrednost atributa oddelka, boste videli, da se je ime oddelka v uporabniških lastnostih na zavihku Organizacija takoj spremenilo.

Iz urejevalnika lahko atribut kopira vrednost polja distName (v obliki CN = Sergej A. Ivanov, OU = Uporabniki, OU = Msk, DC = winitpro, DC = ru - edinstveno ime predmeta v AD), CN (splošno ime) in ugotovi datum nastanka račun (ko je ustvarjeno) itd..

Na dnu okna urejevalnika atributov AD je gumb Filter. Privzeto so v oknu atributov prikazani samo neprazni atributi (možnost je omogočena Pokaži samo atribute, ki imajo vrednosti) Če to možnost onemogočite, bodo v konzoli prikazani vsi atributi uporabniškega razreda. Bodite pozorni tudi na možnost Pokaži samo atribute, ki jih je mogoče zapisati. Če ga omogočite, bodo na voljo samo tisti atributi, ki jim je bila dodeljena pravica do urejanja (če nimate dovoljenja za spreminjanje atributov tega uporabnika, bo seznam atributov prazen).

Večina atributov AD ima vgrajeno funkcijo dekodiranja vrednosti. Na primer:

  • najdete podatke o uporabnikovem zadnjem vnosu v domeno - atribut lastLogonTimestamp (kot lahko vidite na konzoli urejevalnika atributov, čas se prikaže v običajni obliki, če pa kliknete nanj, boste videli, da je čas dejansko shranjen v obliki časovne žige);
  • stanje računa je shranjeno v atributu userAccountControl. Namesto bitne maske vidite bolj priročen pogled. Na primer, 0x200 = (NORMAL_ACCOUNT) namesto števila 512;
  • vendar uporabnikova fotografija v AD (atribut sličicePhoto) ni prikazana in je shranjena v binarni obliki;

Kartica urejevalnika atributov ni na voljo prek iskanja v aktivnem imeniku

Glavna pomanjkljivost urejevalnika atributov AD se ne odpira v lastnostih predmeta, če ste ga našli z iskanjem (zakaj je to storjeno - ne razumem). Če želite uporabljati urejevalnik atributov, morate razširiti vsebnik (OU) v drevesu AD, v katerem se nahaja objekt, poiskati želeni predmet na seznamu in odpreti njegove lastnosti (vse to je divje neprijetno).

Zase sem našel majhen life hack, ki vam še vedno omogoča, da odprete urejevalnik uporabniških atributov, ki ste ga našli med iskanjem v konzoli ADUC.

Torej:

  1. Z iskanjem poiščite pravega uporabnika;
  2. Pojdite na zavihek s seznamom skupin uporabnikov (član);
  3. Odprite eno od skupin (zaželeno je, da ima čim manj uporabnikov);
  4. V lastnostih skupine pojdite na zavihek s člani skupine (Član) in zaprite (!) Okno z lastnostmi uporabnikov;
  5. Zdaj na seznamu članov skupine kliknite svojega uporabnika in na kartici Attribute Editor boste videli okno z lastnostmi uporabnikov.

Urejevalnik atributov uporabnikov lahko odprete tudi brez ročnega izbiranja v drevesu AD s shranjenimi poizvedbami na konzoli ADUC.

Lahko pa uporabite tudi Upravljalni center Active Directory, v katerem je zavihek za urejevalnik atributov uporabnika (računalnik) dostopen tudi prek iskanja (zavihek razširitve).

Namesto urejevalnika atributov lahko uporabite ukazne plošče PowerShell za ogled in urejanje vseh atributov uporabnikov, skupin in računalnikov:

Ogled vrednosti vseh atributov predmetov:

  • Uporabnik: Uporabniško ime Get-ADUser -Properties *
  • Računalnik: Get-AD Računalniško ime računalnika - Lastnosti *
  • Skupine: Get-ADGroup groupname - Lastnosti *

Če želite spremeniti atribute predmetov v AD-ju, se ustrezno uporabijo cmdleti Set-aduser, Set-računalnik in Nastavi skupino oglasov.

Kategorija