Как скрыть контейнеры в Active Directory

Сразу после установки нового домена Active Directory в корне консоли Active Directory User and Computers (ADUC) появляется несколько предопределенных служебных контейнеров (OU).  Большинство из них редко используются при повседневном администрировании Active Directory,  однако занимают место в консоли, и «мозолят» глаза администратору AD. В этой статье мы разберемся, как можно скрыть ненужные контейнеры AD в консоли AD Users and Computers.

Скрыть ou в active directory

Напомним, по-умолчанию, в консоли ADUC отображаются следующие контейнеры:

  • Bultin
  • Computers
  • Domain Controllers
  • ForeignSecurityPrincipals
  • Managed Service Accounts
  • Users

На самом деле объектов верхнего уровня намного  больше, чтобы отобразить все, в том числе скрытые объекты  AD с расширенными атрибутами, в консоли ADUC нужно в меню View отметить опцию “Advanced Features”.

Расширенные параметры отображения AD

Microsoft таким образом просто «скрыла» достаточно редко используемые стандартные элементы каталога AD, ежедневный доступ к которым не требуется (если вообще нужен). Каким образом любой OU в AD сделать скрытым, чтобы он не отображался в обычном режиме работы консоли ADUC?

Для этого нужно изменить атрибут, управляющий видимостью любого контейнера в AD под названием showInAdvancedViewOnly. Данный атрибут впервые появился еще в версии AD Windows 2000 Server. Для его правки в Windows 2000/Windows 2003 нужно было устанавливать специальную консоль  ADSIEDIT (входящую в состав утилит администратора Windows — Support Tools). В Windows 2008 /2008 R2 Microsoft сделала функционал этого инструмента частично доступным прямо в консоли AD Users and Computers (в расширенном режиме работы при включенной Advanced Features),  для этого достаточно в окне свойств объекта выбрать вкладку  Attribute Editor.

Например, у контейнера ForeignSecurityPrincipals значение showInAdvancedViewOnly=False. Это означает, что данный контейнер не является скрытым.

Атрибут Active Directory showInAdvancedViewOnly

Поменяем значение параметра showInAdvancedViewOnly  на true, в результате данный контейнер перестанет отображаться в консоли ADUC.

showInAdvancedViewOnly=true

Какие же из стандартных контейнеров в AD можно скрыть?

Builtin: можно скрыть. В этом контейнере содержатся стандартные (встроенные) группы AD: Account Operators, Backup Operators, Event Log Readers, Guests, Server Operators  и т.д. Состав этих групп меняется редко.

ForeignSecurityPrincipals: — также стоит скрыть. Контейнер используется для хранения  идентификаторов безопасности (SID), связанных с внешними  доверенными доменами. Используется крайне редко

Users: можно скрыть. Несмотря на свое название, данный контейнер не рекомендуется использовать для создания и хранения пользовательских учетных записей. В OU Users хранятся такие важные доменные группы, как Domain Admins, Enterprise Admins, Schema Admins и т.д.

Managed Service Accounts: контейнер появился в Windows 2008 R2 и используется для управления сервисными учетными записями. Также можно скрыть.

Computers: стандартный OU для компьютеров, добавляемых в домен (например, с помощью первого способа, описанного в статье Как включить Windows 8 в домен). Согласно документации Microsoft, не рекомендуется использовать данный контейнер для повседневной работы. Учетные записи, появляющиеся здесь нужно переносить в продуктивные OU (в зависимости от структуры каталога),  либо же с помощью команды redircmp перенаправлять компьютеры сразу в новую OU (подробнее описано в статье Замена стандартного OU Computers в AD).

В результате, скрыв часть структуры каталогов, в консоли не отображается ничего лишнего, и упрощается повседневная работа администратора с консолью с ADUC, за счет вот такого компактного вида. Если необходимо отредактировать любой объект в «скрытой» части AD, достаточно переключить консоль AD в «расширенный вид».

"Легкая" active directory


Предыдущая статья Следующая статья

Комментариев: 4 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)