Wbudowany edytor atrybutów obiektów usługi Active Directory w programie ADUC

Edytor atrybutów jest zintegrowanym narzędziem graficznym do dostrajania właściwości obiektów AD (użytkowników, komputerów, grup). To z edytora atrybutów można uzyskać i zmienić wartości atrybutów obiektów AD, które nie są dostępne we właściwościach obiektu w konsoli ADUC.

Treść

  • Korzystanie z edytora atrybutów w konsoli Active Directory Users and Computer
  • Karta edytora atrybutów niedostępna podczas wyszukiwania w usłudze Active Directory

Jeśli się nie mylę, wbudowany edytor atrybutów obiektów usługi Active Directory pojawił się w systemie Windows Server 2008 R2. Wcześniej trzeba było użyć znacznie mniej wygodnego edytora ADSI Edit, aby edytować ukryte właściwości obiektów AD..

Korzystanie z edytora atrybutów w konsoli Active Directory Users and Computer

Tak więc, aby użyć edytora atrybutów AD, musisz zainstalować przystawkę dsa.msc (lub ADUC - użytkownicy i komputer usługi Active Directory).

Spróbuj otworzyć właściwości dowolnego użytkownika w AD. Jak widać, dostępnych jest kilka kart z atrybutami użytkownika. Najważniejsze z nich to:

  • Ogólne (Ogólne) - główne właściwości użytkownika ustawiane podczas tworzenia konta w AD (imię, nazwisko, telefon, e-mail itp.);
  • Adres (Adres);
  • Konto (Konto) - nazwa konta (samAccountName, userPrincipalName). W tym miejscu możesz określić listę komputerów, na których użytkownik może pracować (LogonWorkstations), opcje: hasło nie wygasa, użytkownik nie może zmienić hasła, czy konto jest włączone i okres ważności itp.;
  • Profil (Profil) - możesz skonfigurować ścieżkę do profilu użytkownika (w scenariuszach z profilami mobilnymi); skrypt wykonywany przy wejściu, folder domowy, dysk sieciowy;
  • Telefony (Telefony);
  • Organizacja (Organizacja) - stanowisko, dział, firma użytkownika, nazwa menedżera.

W tym oknie dostępny jest tylko podstawowy zestaw właściwości użytkownika, chociaż klasa User w AD ma znacznie więcej atrybutów (ponad 200).

Aby wyświetlić zaawansowany edytor atrybutów, musisz włączyć tę opcję w menu ADUC Zobacz -> Zaawansowane funkcje (Widok -> Dodatkowe elementy).

Teraz ponownie otwórz właściwości użytkownika i zauważ, że pojawiła się osobna karta Edytor atrybutów. Jeśli przejdziesz do niego, zobaczysz ten sam edytor atrybutów użytkownika AD. Ta tabela zawiera listę wszystkich atrybutów użytkownika AD i ich znaczenia. Możesz kliknąć dowolny atrybut i zmienić jego wartość. Na przykład, zmieniając wartość atrybutu departamentu, zobaczysz, że nazwa działu we właściwościach użytkownika na karcie Organizacja natychmiast się zmieniła.

Z edytora atrybut może skopiować wartość pola wyróżnionego (w formacie CN = Siergiej A. Iwanow, OU = Użytkownicy, OU = Msk, DC = winitpro, DC = ru - unikalna nazwa obiektu w AD), CN (nazwa pospolita), znaleźć datę utworzenia konto (whenCreated) itp..

W dolnej części okna Edytora atrybutów AD znajduje się przycisk Filtruj. Domyślnie tylko niepuste atrybuty są wyświetlane w oknie atrybutów (opcja jest włączona Pokaż tylko atrybuty, które mają wartości) Jeśli wyłączysz tę opcję, wszystkie atrybuty klasy User będą widoczne w konsoli. Zwróć także uwagę na opcję Pokaż tylko zapisywalne atrybuty. Jeśli włączysz tę funkcję, dostępne będą tylko te atrybuty, które zostały delegowane do edytowania (jeśli nie masz uprawnień do zmiany atrybutów tego użytkownika, lista atrybutów będzie pusta).

Większość atrybutów AD ma wbudowaną funkcję dekodowania wartości. Na przykład:

  • możesz znaleźć informacje o ostatnim wejściu użytkownika do domeny - atrybut lastLogonTimestamp (jak widać w konsoli edytora atrybutów, czas jest wyświetlany w normalnej formie, ale jeśli go klikniesz, zobaczysz, że czas jest faktycznie zapisany w postaci znacznika czasu);
  • status konta jest przechowywany w atrybucie userAccountControl. Zamiast maski bitowej widzisz wygodniejszy widok. Na przykład 0x200 = (NORMAL_ACCOUNT) zamiast cyfry 512;
  • jednak zdjęcie użytkownika w AD (atrybut thumbnailPhoto) nie jest wyświetlane i jest przechowywane w formie binarnej;

Karta edytora atrybutów niedostępna podczas wyszukiwania w usłudze Active Directory

Główną wadą edytora atrybutów AD, nie otwiera się we właściwościach obiektu, jeśli znalazłeś go podczas wyszukiwania (dlaczego to się dzieje - nie rozumiem). Aby użyć edytora atrybutów, musisz rozwinąć kontener (OU) w drzewie AD, w którym znajduje się obiekt, znaleźć żądany obiekt na liście i otworzyć jego właściwości (to wszystko jest bardzo niewygodne).

Dla siebie znalazłem mały hack życia, który wciąż pozwala na otwarcie edytora atrybutów użytkownika znalezionego podczas wyszukiwania w konsoli ADUC.

Więc:

  1. Użyj wyszukiwania, aby znaleźć odpowiedniego użytkownika;
  2. Przejdź do zakładki z listą grup użytkowników (członek);
  3. Otwórz jedną z grup (pożądane jest, aby miała jak najmniej użytkowników);
  4. We właściwościach grupy przejdź do zakładki z członkami grupy (Członek) i zamknij (!) Okno właściwości użytkownika;
  5. Teraz na liście członków grupy kliknij użytkownika, a zobaczysz okno właściwości użytkownika z zakładką Edytor atrybutów.

Możesz także otworzyć edytor atrybutów użytkownika bez ręcznego wybierania go w drzewie AD za pomocą zapisanych zapytań w konsoli ADUC.

Możesz także skorzystać z Centrum administracyjnego usługi Active Directory, w którym karta edytora atrybutów użytkownika (komputera) jest dostępna nawet poprzez wyszukiwanie (karta Rozszerzenie).

Zamiast edytora atrybutów możesz używać poleceń cmdlet programu PowerShell do przeglądania i edytowania wszystkich atrybutów użytkowników, grup i komputerów:

Zobacz wartości wszystkich atrybutów obiektów:

  • Użytkownik: Nazwa użytkownika Get-ADUser-Właściwości *
  • Komputer: Get-ADСomputer nazwa-komputera-Właściwości *
  • Grupy: Get-ADGroup nazwa grupy-Właściwości *

Aby zmienić atrybuty obiektu w AD, odpowiednio używa się poleceń cmdlet Set-aduser, Ustaw komputer-reklamowy i Ustaw grupę reklam.