Редактор атрибутів Active Directory (Attribute Editor) це вбудований графічний інструмент для тонкого редагування властивостей об’єктів AD (користувачів, комп’ютерів, груп). Саме з редактора атрибута ви зможете отримати і змінити значення атрибутів об’єктів AD, які недоступні в властивості об’єкта в консолі ADUC.

  • Використання Attribute Editor в консолі Active Directory Users and Computer
  • Чи не доступна вкладка Attribute Editor через пошук Active Directory

Якщо я не помиляюся, вбудований редактор атрибутів об’єктів Active Directory з’явився в Windows Server 2008 R2. До цього для редагування прихованих властивостей об’єктів AD доводилося використовувати набагато менш зручний редактор ADSI Edit.

Використання Attribute Editor в консолі Active Directory Users and Computer

Отже, щоб скористатися редактором атрибутів AD вам потрібно встановити оснащення dsa.msc (або ADUC – Active Directory Users and Computer).

Спробуйте відкрити властивості будь-якого користувача в AD. Як ви бачите доступні кілька вкладок з атрибутами користувача. Основні з них:

  • загальні (General) – основні властивості користувача, які задаються при створенні облікового запису в AD (ім’я, прізвище, телефон, email і т.д.);
  • Адреса (Адреса);
  • Обліковий запис (Account) – ім’я облікового запису (samAccountName, userPrincipalName). Тут можна вказати список комп’ютерів, на яких дозволено працювати користувачеві (LogonWorkstations), опції: пароль чи не закінчується, користувач не може змінити пароль, чи включена обліковий запис і її термін дії і т.д .;
  • профіль (Profile) – можна налаштувати шлях до профілю користувача (в сценаріях з переміщуваними профілями); скрипт, що виконується при вході, домашню папку, мережевий диск;
  • телефони (Телефони);
  • організація (Organization) – посаду, департамент, компанія користувача, ім’я менеджера.

У цьому вікні вам доступний тільки базовий набір властивостей користувача, хоча в класі User в AD набагато більше атрибутів (200+).

властивості пользвоателя в консолі Active Directory

Щоб відобразити розширений редактор атрибутів, вам потрібно в меню ADUC включити опцію Переглянути -> Розширені функції (Вид -> Додаткові компоненти).

З редактора атрибутом можна скопіювати значення поля distinguishedName (в форматі CN = Sergey A. Ivanov, OU = Users, OU = Msk, DC = winitpro, DC = ru – унікальне ім’я об’єкта в AD), CN (Common Name), дізнатися дату створення облікового запису (whenCreated) і т.д.

Внизу вікна редактора атрибутів AD присутній кнопка Filter. За замовчуванням у вікні атрибутів відображаються тільки непусті атрибути (включена опція Show only attributes that have values ​​/ Відображати тільки атрибути зі значеннями). Якщо вимкнути цю опцію, в Конолі будуут показані всі атрибути класу User. Також зверніть увагу на опцію Показувати лише атрибути для запису. Якщо включити її, вам стануть доступні тільки ті атрибути, на правку яких вам делеговані повноваження (якщо у вас немає повноважень на зміну атрибутів даного користувача, список атрибутів буде порожній).

Фільтр в редакторі атрибутів пользвоателя AD - Show only attributes that have values

немає прав на атрибути користувача в ad

Для більшості атрибутів AD є вбудована функція декодування значень. наприклад:

  • можна знайти інформацію про останній вхід користувача в домен – атрибут lastLogonTimestamp (як ви бачите в консолі редактора атрибутів час відображається в нормальному вигляді, але якщо клацнути по ньому, ви побачите, що насправді час зберігається у вигляді timestamp);
    lastLogonTimestamp формат позначки часу
  • стан облікового запису зберігається в атрибуті userAccountControl. Замість бітової маски ви бачите більш зручне представлення. Наприклад, 0x200 = (NORMAL_ACCOUNT) замість цифри 512;
    Значення userAccountControl
  • проте фото користувача в AD (атрибут thumbnailPhoto) не відображається, і зберігається в бінарному вигляді;

Чи не доступна вкладка Attribute Editor через пошук Active Directory

Основний недолік редактора атрибутів AD, він не відкривається у властивостях об’єкта, якщо ви знайшли його через пошук (чому так зроблено – я не розумію). Для використання Attribute Editor ви повинні в дереві AD розгорнути контейнер (OU), в якому знаходиться об’єкт, знайти в списку потрібний об’єкт і відкрити його властивості (все це дико не зручно).

Для себе я знайшов невеликий лайфхак, який все-таки дозволяє відкрити редактор атрибутів користувача, знайденого через пошук в консолі ADUC.

Отже:

  1. За допомогою пошуку знайдіть потрібного користувача;
  2. Перейдіть на вкладку зі списком груп користувача (Member of);
  3. Відкрийте одну з груп (бажано, щоб в ній було якомога менше користувачів);
  4. У властивостях групи перейдіть на вкладку з членами групи (Member) і закрийте (!) Вікно властивостей користувача;
    властивості користувача AD - список груп
  5. Тепер в списку членів групи клацніть по своєму користувачеві і перед вами відкриється вікно властивостей користувача з вкладкою Attribute Editor.
    attribute editor ad через пошук

Також ви можете відкрити редактор атрибутів користувача без його ручного вибору в дереві AD через збережені запити в консолі ADUC.

збережений запит в консолі AD

Або ви можете використовувати Active Directory Administrative Center, в якому вкладка редактора атрибутів користувача (комп’ютера) доступна навіть через пошук (вкладка Extension).

Active Directory Administrative Center редактор атрибутів

Замість Attribute Editor для перегляду і редагування всіх атрибутів користувачів, груп і комп’ютерів можна використовувати командлети PowerShell:

Перегляд значень всіх атрибутів об’єктів:

Щоб змінити атрибути об’єктів в AD відповідно використовуються командлети Set-ADUser, Set-ADComputer і Set-ADGroup.

Leave a Reply

Your email address will not be published. Required fields are marked *