Как скрыть контейнеры в Active Directory | Windows для системных администраторов

Как скрыть контейнеры в Active Directory

Сразу после установки нового домена Active Directory в корне консоли Active Directory User and Computers (ADUC) появляется несколько предопределенных служебных контейнеров (OU).  Большинство из них редко используются при повседневном администрировании Active Directory,  однако занимают место в консоли, и «мозолят» глаза администратору AD. В этой статье мы разберемся, как можно скрыть ненужные контейнеры AD в консоли AD Users and Computers.

Скрыть ou в active directory

Напомним, по-умолчанию, в консоли ADUC отображаются следующие контейнеры:

На самом деле объектов верхнего уровня намного  больше, чтобы отобразить все, в том числе скрытые объекты  AD с расширенными атрибутами, в консоли ADUC нужно в меню View отметить опцию “Advanced Features”.

Расширенные параметры отображения AD

Microsoft таким образом просто «скрыла» достаточно редко используемые стандартные элементы каталога AD, ежедневный доступ к которым не требуется (если вообще нужен). Каким образом любой OU в AD сделать скрытым, чтобы он не отображался в обычном режиме работы консоли ADUC?

Для этого нужно изменить атрибут, управляющий видимостью любого контейнера в AD под названием showInAdvancedViewOnly. Данный атрибут впервые появился еще в версии AD Windows 2000 Server. Для его правки в Windows 2000/Windows 2003 нужно было устанавливать специальную консоль  ADSIEDIT (входящую в состав утилит администратора Windows — Support Tools). В Windows 2008 /2008 R2 Microsoft сделала функционал этого инструмента частично доступным прямо в консоли AD Users and Computers (в расширенном режиме работы при включенной Advanced Features),  для этого достаточно в окне свойств объекта выбрать вкладку  Attribute Editor.

Например, у контейнера ForeignSecurityPrincipals значение showInAdvancedViewOnly=False. Это означает, что данный контейнер не является скрытым.

Атрибут Active Directory showInAdvancedViewOnly

Поменяем значение параметра showInAdvancedViewOnly  на true, в результате данный контейнер перестанет отображаться в консоли ADUC.

showInAdvancedViewOnly=true

Какие же из стандартных контейнеров в AD можно скрыть?

Builtin: можно скрыть. В этом контейнере содержатся стандартные (встроенные) группы AD: Account Operators, Backup Operators, Event Log Readers, Guests, Server Operators  и т.д. Состав этих групп меняется редко.

ForeignSecurityPrincipals: — также стоит скрыть. Контейнер используется для хранения  идентификаторов безопасности (SID), связанных с внешними  доверенными доменами. Используется крайне редко

Users: можно скрыть. Несмотря на свое название, данный контейнер не рекомендуется использовать для создания и хранения пользовательских учетных записей. В OU Users хранятся такие важные доменные группы, как Domain Admins, Enterprise Admins, Schema Admins и т.д.

Managed Service Accounts: контейнер появился в Windows 2008 R2 и используется для управления сервисными учетными записями. Также можно скрыть.

Computers: стандартный OU для компьютеров, добавляемых в домен (например, с помощью первого способа, описанного в статье Как включить Windows 8 в домен). Согласно документации Microsoft, не рекомендуется использовать данный контейнер для повседневной работы. Учетные записи, появляющиеся здесь нужно переносить в продуктивные OU (в зависимости от структуры каталога),  либо же с помощью команды redircmp перенаправлять компьютеры сразу в новую OU (подробнее описано в статье Замена стандартного OU Computers в AD).

В результате, скрыв часть структуры каталогов, в консоли не отображается ничего лишнего, и упрощается повседневная работа администратора с консолью с ADUC, за счет вот такого компактного вида. Если необходимо отредактировать любой объект в «скрытой» части AD, достаточно переключить консоль AD в «расширенный вид».

"Легкая" active directory

Еще записи по теме: Active Directory
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 4

Оставить комментарий
  1. Сергей | 28.01.2013

    Отличная статья, а вы можете подсказать, как скрывать для user с ограниченными возможностями лишние контейнеры и как этим юзерам дать лишь возможность создавать новых пользователей домена, без возможности удаления ! спасибо !

    Ответить
    • itpro | 29.01.2013

      1. Со скрытием для пользователей некоторых контейнеров — вопрос неоднозначный, т.к. по идее можно запретить некоторой группе право на list объектов в конкретном OU (вкладка Secutirty, право List Contents), однако могут быть различные проблемы с доступом и взаимодействием ограниченных пользователей с объектами в «скрытой» OU, так что решение стоит всесторонне протестировать.
      2. Запретить пользователям удалять объекты можно точно также, раздав права на OU (deny — deleta all child object, конкретной группе, например)

      Ответить
  2. Игорь | 28.01.2013

    Вопрос немного не в тему, но около…
    Почему у меня в ADUC не отображаются в свойствах объекта user вкладки относящиеся к exchange?

    Ответить
    • itpro | 29.01.2013

      Exchange, вероятно 2003? Чтобы отобразить почтовые атрибуты exchange, нужна специальная консоль, которую можно установить из пакета с дистрибутивов Exchange 2003

      Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.25MB/0.00106 sec