Встроенный редактор атрибутов объектов Active Directory в ADUC

Редактор атрибутов Active Directory (Attribute Editor) это встроенный графический инструмент для тонкого редактирования свойств объектов AD (пользователей, компьютеров, групп). Именно из редактора атрибута вы сможете получить и изменить значения атрибутов объектов AD, которые недоступны в свойствах объекта в консоли ADUC.

Если я не ошибаюсь, встроенный редактор атрибутов объектов Active Directory появился в Windows Server 2008 R2. До этого для редактирования скрытых свойств объектов AD приходилось использовать гораздо менее удобный редактор ADSI Edit.

Использование Attribute Editor в консоли Active Directory Users and Computer

Итак, чтобы воспользоваться редактором атрибутов AD вам нужно установить оснастку dsa.msc (или ADUC — Active Directory Users and Computer).

Попробуйте открыть свойства любого пользователя в AD. Как вы видите доступны несколько вкладок с атрибутами пользователя. Основные из них:

  • Общие (General) – основные свойства пользователя, которые задаются при создании учетной записи в AD (имя, фамилия, телефон, email и т.д.);
  • Адрес (Address);
  • Учетная запись (Account) – имя учетной записи (samAccountName, userPrincipalName). Здесь можно указать список компьютеров, на которых разрешено работать пользователю (LogonWorkstations), опции: пароль не истекает, пользователь не может сменить пароль, включена ли учетная запись и ее срок действия и т.д.;
  • Профиль (Profile) – можно настроить путь к профилю пользователя (в сценариях с перемещаемыми профилями); скрипт, выполняемый при входе, домашнюю папку, сетевой диск;
  • Телефоны (Telephones);
  • Организация (Organization) – должность, департамент, компания пользователя, имя менеджера.

В этом окне вам доступен только базовый набор свойств пользователя, хотя в классе User в AD гораздо больше атрибутов (200+).

свойства пользвоателя в консоли Active Directory

Чтобы отобразить расширенный редактор атрибутов, вам нужно в меню ADUC включить опцию View -> Advanced Features (Вид -> Дополнительные компоненты).

ADUC View -> Advanced Features

Теперь еще раз откройте свойства пользователя и обратите внимание, что появилась отдельная вкладка Attribute Editor. Если перейти на нее, перед вами откроется тот самый редактор атрибутов пользователя AD. Здесь в таблице представлен список всех атрибутов пользователя AD и их значения. Вы можете щелкнуть на любом атрибуте и изменить его значение. Например, изменив значение атрибута department, вы увидите, что сразу изменилось наименование департамента в свойствах пользователя на вкладке Organization.

Attribute Editor в консоли AD

Из редактора атрибутом можно скопировать значение поля distinguishedName (в формате CN=Sergey A. Ivanov,OU=Users,OU=Msk,DC=winitpro,DC=ru — уникальное имя объекта в AD), CN (Common Name), узнать дату создания учётной записи (whenCreated) и т.д.

Внизу окна редактора атрибутов AD присутствует кнопка Filter. По умолчанию в окне атрибутов отображаются только непустые атрибуты (включена опция Show only attributes that have values / Отображать только атрибуты со значениями). Если вы отключите эту опцию, в коноли будуут показаны все атрибуты класса User. Также обратите внимание на опцию Show only writable attributes. Если включить ее, вам станут доступны только те атрибуты, на правку которых вам делегированы полномочия (если у вас нет полномочий на изменение атрибутов данного пользователя, список атрибутов будет пуст).

Фильтр в редакторе атрибутов пользвоателя AD - Show only attributes that have values

нет прав на атрибуты пользователя в ad

Для большинства атрибутов AD имеется встроенная функция декодирования значений. Например:

  • можно найти информацию о последнем входе пользователя в домен — атрибут lastLogonTimestamp (как вы видите в консоли редактора атрибутов время отображается в нормальном виде, но если щелкнуть по нему, вы увидите, что на самом деле время хранится в виде timestamp);
    lastLogonTimestamp формат timestamp
  • состояние учетной записи хранится в атрибуте userAccountControl. Вместо битовой маски вы видите более удобное представление. Например, 0x200 = (NORMAL_ACCOUNT) вместо цифры 512;
    userAccountControl значение
  • однако фото пользователя в AD (атрибут thumbnailPhoto) не отображается, и хранится в бинарном виде;

Не доступна вкладка Attribute Editor через поиск Active Directory

Основной недостаток редактора атрибутов AD, он не открывается в свойствах объекта, если вы нашли его через поиск (почему так сделано — я не понимаю). Для использования Attribute Editor вы должны в дереве AD развернуть контейнер (OU), в котором находится объект, найти в списке нужный объект и открыть его свойства (все это дико не удобно).

Для себя я нашел небольшой лайфхак, который все-таки позволяет открыть редактор атрибутов пользователя, найденного через поиск в консоли ADUC.

Итак:

  1. С помощью поиска найдите нужного пользователя;
  2. Перейдите на вкладку со списком групп пользователя (Member of);
  3. Откройте одну из групп (желательно, чтобы в ней было как можно меньше пользователей);
  4. В свойствах группы перейдите на вкладку с членами группы (Member) и закройте (!) окно свойств пользователя;
    свойства пользователя AD - список групп
  5. Теперь в списке членов группы щелкните по своему пользователю и перед вами откроется окно свойств пользователя со вкладкой Attribute Editor.
    attribute editor ad через поиск

Также вы можете открыть редактор атрибутов пользователя без его ручного выбора в дереве AD через сохраненные запросы в консоли ADUC.

сохраненный запрос в консоли AD

Либо вы можете использовать Active Directory Administrative Center, в котором вкладка редактора атрибутов пользователя (компьютера) доступна даже через поиск (вкладка Extension).

Active Directory Administrative Center редактор атрибутов

Вместо Attribute Editor для просмотра и редактирования всех атрибутов пользователей, групп и компьютеров можно использовать командлеты PowerShell:

Просмотр значений всех атрибутов объектов:

Чтобы изменить атрибуты объектов в AD соответственно используются командлеты Set-ADUser, Set-ADComputer и Set-ADGroup.


Предыдущая статья Следующая статья


Комментариев: 0 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)