Vstavaný editor atribútov objektov Active Directory v ADUC

Editor atribútov je integrovaný grafický nástroj na jemné doladenie vlastností objektov AD (používateľov, počítače, skupiny). Z editora atribútov môžete získať a zmeniť hodnoty atribútov objektov AD, ktoré nie sú k dispozícii vo vlastnostiach objektu v konzole ADUC..

obsah:

  • Použitie editora atribútov v Active Directory Users and Computer Console
  • Karta Editor atribútov nie je k dispozícii pri vyhľadávaní v službe Active Directory

Ak sa nemýlim, v systéme Windows Server 2008 R2 sa objavil vstavaný editor atribútov Active Directory Object Attribute Editor. Predtým ste museli použiť oveľa menej pohodlný editor úprav ADSI na úpravu skrytých vlastností objektov AD..

Použitie editora atribútov v Active Directory Users and Computer Console

Ak chcete použiť editor atribútov AD, musíte nainštalovať modul dsa.msc (alebo ADUC - používatelia služby Active Directory a počítač).

Pokúste sa otvoriť vlastnosti ktoréhokoľvek používateľa v službe AD. Ako vidíte, je k dispozícii niekoľko kariet s užívateľskými atribútmi. Hlavné sú:

  • obyčajný (Všeobecné) - hlavné vlastnosti používateľa, ktoré sa nastavujú pri vytváraní účtu v službe AD (meno, priezvisko, telefón, e-mail atď.);
  • Adresa (Adresa);
  • účet (Účet) - názov účtu (samAccountName, userPrincipalName). Tu môžete zadať zoznam počítačov, na ktorých má užívateľ povolené pracovať (LogonWorkstations), možnosti: heslo neskončí, používateľ nemôže zmeniť heslo, či je účet povolený a doba jeho platnosti atď .;
  • profil (Profil) - môžete nakonfigurovať cestu k užívateľskému profilu (v scenároch s cestovnými profilmi); skript, ktorý sa vykoná pri vstupe, domovský priečinok, sieťová jednotka;
  • telefóny (Telefóny);
  • organizácie (Organizácia) - pozícia, oddelenie, užívateľská spoločnosť, meno manažéra.

V tomto okne máte k dispozícii iba základnú sadu vlastností používateľa, aj keď trieda User v AD má oveľa viac atribútov (200+).

Ak chcete zobraziť editor pokročilých atribútov, musíte povoliť možnosť v ponuke ADUC vyhliadka -> Pokročilé funkcie (Zobraziť -> Ďalšie komponenty).

Teraz znova otvorte vlastnosti používateľa a všimnite si, že sa objavila samostatná karta Editor atribútov. Ak k tomu prejdete, uvidíte toho istého editora atribútov používateľa služby AD. Táto tabuľka obsahuje zoznam všetkých atribútov používateľa AD a ich významov. Môžete kliknúť na ľubovoľný atribút a zmeniť jeho hodnotu. Napríklad zmenou hodnoty atribútu department uvidíte, že sa názov oddelenia v užívateľských vlastnostiach na karte Organizácia okamžite zmenil.

Z editora môže atribút skopírovať hodnotu poľa s rozlišovacím menom (vo formáte CN = Sergey A. Ivanov, OU = Users, OU = Msk, DC = winitpro, DC = ru - jedinečný názov objektu v AD), CN (Common Name), zistiť dátum vytvorenia účet (po vytvorení) atď..

V dolnej časti okna Editor atribútov AD sa nachádza tlačidlo Filter. Štandardne sa v okne atribútov zobrazujú iba neprázdne atribúty (možnosť je povolená Zobraziť iba atribúty, ktoré majú hodnoty). Ak túto voľbu zakážete, v konzole sa zobrazia všetky atribúty triedy User. Venujte pozornosť aj tejto možnosti Zobraziť iba zapisovateľné atribúty. Ak to povolíte, budú vám k dispozícii iba tie atribúty, na ktoré ste dostali právo upravovať (ak nemáte povolenie na zmenu atribútov tohto používateľa, zoznam atribútov bude prázdny).

Väčšina atribútov AD má zabudovanú funkciu dekódovania hodnoty. Napríklad:

  • nájdete informácie o poslednom vstupe používateľa do domény - atribút lastLogonTimestamp (ako vidíte na konzole editora atribútov, čas sa zobrazuje v normálnej podobe, ale ak naň kliknete, uvidíte, že čas je skutočne uložený vo forme časovej pečiatky);
  • stav účtu je uložený v atribúte userAccountControl. Namiesto bitovej masky uvidíte pohodlnejší pohľad. Napríklad 0x200 = (NORMAL_ACCOUNT) namiesto číslice 512;
  • fotografia používateľa v AD (atribút miniatilPhoto) sa však nezobrazí a je uložená v binárnej forme;

Karta Editor atribútov nie je k dispozícii pri vyhľadávaní v službe Active Directory

Hlavnou nevýhodou editora atribútov AD je, že sa neotvorí vo vlastnostiach objektu, ak ste ho našli pri vyhľadávaní (prečo sa tak deje - nerozumiem). Ak chcete použiť Editor atribútov, musíte rozbaliť kontajner (OU) v strome AD, v ktorom sa nachádza objekt, nájsť požadovaný objekt v zozname a otvoriť jeho vlastnosti (to všetko je veľmi nepríjemné).

Pre seba som našiel malý životný hack, ktorý vám stále umožňuje otvoriť editor atribútov používateľa, ktorý sa našiel vyhľadávaním v konzole ADUC..

takže:

  1. Použite vyhľadávanie na nájdenie správneho používateľa;
  2. Prejdite na kartu so zoznamom skupín používateľov (člen);
  3. Otvorte jednu zo skupín (je žiaduce, aby mala čo najmenej používateľov);
  4. Vo vlastnostiach skupiny prejdite na kartu s členmi skupiny (člen) a zatvorte (!) Okno vlastností používateľa;
  5. Teraz v zozname členov skupiny kliknite na svojho používateľa a zobrazí sa okno vlastností používateľa s kartou Editor atribútov.

Editor používateľských atribútov môžete otvoriť aj bez manuálneho výberu v strome AD pomocou uložených dopytov v konzole ADUC.

Alebo môžete použiť administratívne centrum Active Directory, v ktorom je karta pre editora atribútov používateľa (počítača) prístupná aj prostredníctvom vyhľadávania (karta Rozšírenie)..

Namiesto editora atribútov môžete použiť rutiny cmdlet PowerShell na zobrazenie a úpravu všetkých atribútov používateľov, skupín a počítačov:

Zobraziť hodnoty všetkých atribútov objektov:

  • užívateľ: Používateľské meno Get-ADUser -Vlastnosti *
  • PC: Get-ADСomputer computername -Properties *
  • skupiny: Get-ADGroup groupname -Properties *

Na zmenu atribútov objektov v AD sa používajú rutiny cmdlet Set-ADUser, Set-ADComputer a Set-reklamnísestava.

Kategórie