Вбудований редактор атрибутів об'єктів Active Directory в ADUC

Редактор атрибутів Active Directory (Attribute Editor) це вбудований графічний інструмент для тонкого редагування властивостей об'єктів AD (користувачів, комп'ютерів, груп). Саме з редактора атрибута ви зможете отримати і змінити значення атрибутів об'єктів AD, які недоступні в властивості об'єкта в консолі ADUC.

зміст:

  • Використання Attribute Editor в консолі Active Directory Users and Computer
  • Чи не доступна вкладка Attribute Editor через пошук Active Directory

Якщо я не помиляюся, вбудований редактор атрибутів об'єктів Active Directory з'явився в Windows Server 2008 R2. До цього для редагування прихованих властивостей об'єктів AD доводилося використовувати набагато менш зручний редактор ADSI Edit.

Використання Attribute Editor в консолі Active Directory Users and Computer

Отже, щоб скористатися редактором атрибутів AD вам потрібно встановити оснащення dsa.msc (або ADUC - Active Directory Users and Computer).

Спробуйте відкрити властивості будь-якого користувача в AD. Як ви бачите доступні кілька вкладок з атрибутами користувача. Основні з них:

  • загальні (General) - основні властивості користувача, які задаються при створенні облікового запису в AD (ім'я, прізвище, телефон, email і т.д.);
  • Адреса (Address);
  • Обліковий запис (Account) - ім'я облікового запису (samAccountName, userPrincipalName). Тут можна вказати список комп'ютерів, на яких дозволено працювати користувачеві (LogonWorkstations), опції: пароль чи не закінчується, користувач не може змінити пароль, чи включена обліковий запис і її термін дії і т.д .;
  • профіль (Profile) - можна налаштувати шлях до профілю користувача (в сценаріях з переміщуваними профілями); скрипт, що виконується при вході, домашню папку, мережевий диск;
  • телефони (Telephones);
  • організація (Organization) - посаду, департамент, компанія користувача, ім'я менеджера.

У цьому вікні вам доступний тільки базовий набір властивостей користувача, хоча в класі User в AD набагато більше атрибутів (200+).

Щоб відобразити розширений редактор атрибутів, вам потрібно в меню ADUC включити опцію View -> Advanced Features (Вид -> Додаткові компоненти).

Тепер ще раз відкрийте властивості користувача і зверніть увагу, що з'явилася окрема вкладка Attribute Editor. Якщо перейти на неї, перед вами відкриється той самий редактор атрибутів користувача AD. Тут в таблиці представлений список всіх атрибутів користувача AD і їх значення. Ви можете клацнути на будь-якому атрибуті і змінити його значення. Наприклад, змінивши значення атрибута department, ви побачите, що відразу змінилося найменування департаменту у властивостях користувача на вкладці Organization.

З редактора атрибутом можна скопіювати значення поля distinguishedName (в форматі CN = Sergey A. Ivanov, OU = Users, OU = Msk, DC = winitpro, DC = ru - унікальне ім'я об'єкта в AD), CN (Common Name), дізнатися дату створення облікового запису (whenCreated) і т.д.

Внизу вікна редактора атрибутів AD присутній кнопка Filter. За замовчуванням у вікні атрибутів відображаються тільки непусті атрибути (включена опція Show only attributes that have values ​​/ Відображати тільки атрибути зі значеннями). Якщо вимкнути цю опцію, в Конолі будуут показані всі атрибути класу User. Також зверніть увагу на опцію Show only writable attributes. Якщо включити її, вам стануть доступні тільки ті атрибути, на правку яких вам делеговані повноваження (якщо у вас немає повноважень на зміну атрибутів даного користувача, список атрибутів буде порожній).

Для більшості атрибутів AD є вбудована функція декодування значень. наприклад:

  • можна знайти інформацію про останній вхід користувача в домен - атрибут lastLogonTimestamp (як ви бачите в консолі редактора атрибутів час відображається в нормальному вигляді, але якщо клацнути по ньому, ви побачите, що насправді час зберігається у вигляді timestamp);
  • стан облікового запису зберігається в атрибуті userAccountControl. Замість бітової маски ви бачите більш зручне представлення. Наприклад, 0x200 = (NORMAL_ACCOUNT) замість цифри 512;
  • проте фото користувача в AD (атрибут thumbnailPhoto) не відображається, і зберігається в бінарному вигляді;

Чи не доступна вкладка Attribute Editor через пошук Active Directory

Основний недолік редактора атрибутів AD, він не відкривається у властивостях об'єкта, якщо ви знайшли його через пошук (чому так зроблено - я не розумію). Для використання Attribute Editor ви повинні в дереві AD розгорнути контейнер (OU), в якому знаходиться об'єкт, знайти в списку потрібний об'єкт і відкрити його властивості (все це дико не зручно).

Для себе я знайшов невеликий лайфхак, який все-таки дозволяє відкрити редактор атрибутів користувача, знайденого через пошук в консолі ADUC.

Отже:

  1. За допомогою пошуку знайдіть потрібного користувача;
  2. Перейдіть на вкладку зі списком груп користувача (Member of);
  3. Відкрийте одну з груп (бажано, щоб в ній було якомога менше користувачів);
  4. У властивостях групи перейдіть на вкладку з членами групи (Member) і закрийте (!) Вікно властивостей користувача;
  5. Тепер в списку членів групи клацніть по своєму користувачеві і перед вами відкриється вікно властивостей користувача з вкладкою Attribute Editor.

Також ви можете відкрити редактор атрибутів користувача без його ручного вибору в дереві AD через збережені запити в консолі ADUC.

Або ви можете використовувати Active Directory Administrative Center, в якому вкладка редактора атрибутів користувача (комп'ютера) доступна навіть через пошук (вкладка Extension).

Замість Attribute Editor для перегляду і редагування всіх атрибутів користувачів, груп і комп'ютерів можна використовувати командлети PowerShell:

Перегляд значень всіх атрибутів об'єктів:

  • користувача: Get-ADUser username -Properties *
  • комп'ютера: Get-ADСomputer computername -Properties *
  • Групи: Get-ADGroup groupname -Properties *

Щоб змінити атрибути об'єктів в AD відповідно використовуються командлети Set-ADUser, Set-ADComputer і Set-ADGroup.