Attribute Editor е интегриран графичен инструмент за фина настройка на свойствата на AD обектите (потребители, компютри, групи). От редактора на атрибути можете да получите и промените стойностите на атрибутите на AD обекти, които не са налични в свойствата на обекта в конзолата ADUC.
Съдържание:
- Използване на редактора на атрибути в Active Directory потребители и компютърна конзола
- Разделът за редактор на атрибути не е наличен чрез активно търсене в директория
Използване на редактора на атрибути в Active Directory потребители и компютърна конзола
Така че, за да използвате редактора на атрибути на AD, трябва да инсталирате приспособлението dsa.msc (или ADUC - Потребители и компютър на Active Directory).
Опитайте се да отворите свойства на всеки потребител в AD. Както можете да видите, има няколко раздела с потребителски атрибути. Основните от тях са:
- общ (Общи) - основните свойства на потребителите, които се задават при създаване на акаунт в AD (име, фамилия, телефон, имейл и т.н.);
- Адресът (Адрес);
- сметка (Акаунт) - име на акаунта (samAccountName, userPrincipalName). Тук можете да посочите списъка на компютрите, на които потребителят е разрешен да работи (LogonWorkstations), опции: паролата не изтича, потребителят не може да промени паролата, активиран ли е акаунтът и периодът му на валидност и др .;
- профил (Профил) - можете да конфигурирате пътя към потребителския профил (в сценарии с роуминг профили); скриптът, който се изпълнява при влизане, домашната папка, мрежовото устройство;
- телефони (телефони);
- организация (Организация) - длъжност, отдел, компания-потребител, име на мениджър.
В този прозорец ви е достъпен само основният набор от потребителски свойства, въпреки че потребителският клас в AD има много повече атрибути (200+).
За да покажете разширения редактор на атрибути, трябва да активирате опцията в менюто ADUC изглед -> Разширени функции (Изглед -> Допълнителни компоненти).
Сега отворете отново свойствата на потребителя и забележете, че се е появил отделен раздел Редактор на атрибути. Ако отидете на него, ще видите същия редактор на атрибути на потребител AD. Тази таблица предоставя списък на всички атрибути на AD потребители и техните значения. Можете да кликнете върху всеки атрибут и да промените неговата стойност. Например, променяйки стойността на атрибута отдел, ще видите, че името на отдела в потребителските свойства в раздела Организация веднага се промени.
От редактора атрибутът може да копира стойността на полето на отличеното име (във формата CN = Сергей А. Иванов, OU = Потребители, OU = Msk, DC = winitpro, DC = ru - уникалното име на обекта в AD), CN (Общо име), да открие датата на създаване акаунт (когато е създаден) и т.н..
В долната част на прозореца на редактора на атрибути на AD има бутон за филтриране. По подразбиране в прозореца с атрибути се показват само непразни атрибути (опцията е активирана Показвайте само атрибути, които имат стойности). Ако деактивирате тази опция, всички атрибути на потребителския клас ще бъдат показани в конзолата. Обърнете внимание и на опцията Показване само на атрибути за писане. Ако го активирате, ще ви бъдат достъпни само тези атрибути, на които сте делегирани правото да редактирате (ако нямате разрешение да променяте атрибутите на този потребител, списъкът на атрибутите ще бъде празен).
Повечето атрибути на AD имат вградена функция за декодиране на стойност. Например:
- можете да намерите информация за последното влизане на потребителя в домейна - атрибут lastLogonTimestamp (както можете да видите в конзолата на редактора на атрибути, времето се показва в нормална форма, но ако щракнете върху него, ще видите, че времето действително се съхранява под формата на времева марка);
- състоянието на акаунта се съхранява в атрибута userAccountControl. Вместо битмаска виждате по-удобна гледка. Например 0x200 = (NORMAL_ACCOUNT) вместо цифрата 512;
- снимката на потребителя в AD (атрибута thumbnailPhoto) не се показва и се съхранява в двоичен вид;
Разделът за редактор на атрибути не е наличен чрез активно търсене в директория
Основният недостатък на редактора на атрибути на AD, той не се отваря в свойствата на обекта, ако сте го намерили чрез търсене (защо това е направено - не разбирам). За да използвате редактора на атрибутите, трябва да разширите контейнера (OU) в AD дървото, в което се намира обектът, да намерите желания обект в списъка и да отворите неговите свойства (всичко това е диво не удобно).
За себе си намерих малък лайф лайф, който все още ви позволява да отворите редактора на потребителски атрибути, намерен чрез търсене в конзолата ADUC.
Така че:
- Използвайте търсенето, за да намерите подходящия потребител;
- Отидете в раздела със списък на потребителски групи (Член на);
- Отворете една от групите (желателно е тя да има възможно най-малко потребители);
- В свойствата на групата отидете в раздела с членовете на групата (Член) и затворете (!) Прозореца със свойствата на потребителя;
- Сега в списъка на членовете на групата, щракнете върху вашия потребител и ще видите прозореца със свойствата на потребителите с раздела Редактор на атрибути.
Можете също да отворите редактора на потребителски атрибут, без да го избирате ръчно в AD дървото чрез запазени заявки в конзолата ADUC.
Или можете да използвате административния център на Active Directory, в който разделът за редактора на атрибути на потребител (компютър) е достъпен дори чрез търсене (раздела за разширение).
Вместо редактора на атрибутите можете да използвате командлетите PowerShell за преглед и редактиране на всички атрибути на потребители, групи и компютри:
Преглед на стойностите на всички атрибути на обекти:
- потребител:
Потребителско име за Get-ADUser -Properties *
- PC:
Вземете AD ADиме на компютъра -Пропертити *
- групи:
Get-ADGroup groupname -Properties *
За да промените атрибутите на обекти в AD, командлетите се използват съответно Set-ADUser
, Set-ADComputer
и Set-на Adgroup
.