Відразу після установки нового домену Active Directory в корені консолі Active Directory User and Computers (ADUC) з’являється кілька визначених службових контейнерів (OU). Більшість з них рідко використовуються при повсякденному адмініструванні Active Directory, проте займають місце в консолі, і «муляють» очі адміністратору AD. У цій статті ми розберемося, як можна приховати непотрібні контейнери AD в консолі AD Users and Computers.

Приховати ou в active directory

Нагадаємо, за замовчуванням, в консолі ADUC з’являється більше контейнери:

Насправді об’єктів верхнього рівня набагато більше, щоб відобразити всі, в тому числі приховані об’єкти AD з розширеними атрибутами, в консолі ADUC потрібно в меню View відзначити опцію “Розширений Особливості“.

Розширені параметри відображення AD

Microsoft таким чином просто «приховала» досить рідко використовуються стандартні елементи каталогу AD, щоденний доступ до яких не потрібно (якщо взагалі потрібен). Яким чином будь-який OU в AD зробити прихованим, щоб він не відображався в звичайному режимі роботи консолі ADUC?

Для цього потрібно змінити атрибут, керуючий видимістю будь-якого контейнера в AD під назвою showInAdvancedViewOnly. Даний атрибут вперше з’явився ще в версії AD Windows 2000 Server. Для його редагування в Windows 2000 / Windows 2003 потрібно було встановлювати спеціальну консоль ADSIEDIT (що входить до складу утиліт адміністратора Windows – Support Tools). У Windows 2008/2008 R2 Microsoft зробила функціонал цього інструменту частково доступним прямо в консолі AD Users and Computers (в розширеному режимі роботи при включеній Розширений Особливості), Для цього досить у вікні властивостей об’єкта вибрати вкладку Атрибут Редактор.

Наприклад, у контейнера ForeignSecurityPrincipals значення showInAdvancedViewOnly = False. Це означає, що даний контейнер не є прихованим.

Атрибут Active Directory showInAdvancedViewOnly

Поміняємо значення параметра showInAdvancedViewOnly на true, в результаті даний контейнер перестане відображатися в консолі ADUC.

showInAdvancedViewOnly = true

Які ж із стандартних контейнерів в AD можна приховати?

Вбудований: Можна приховати. В цьому контейнері містяться стандартні (вбудовані) групи AD: Account Operators, Backup Operators, Event Log Readers, Guests, Server Operators і т.д. Склад цих груп змінюється рідко.

Іноземна безпекаПринципи: – також варто приховати. Контейнер використовується для зберігання ідентифікаторів безпеки (SID), пов’язаних із зовнішніми довіреними доменами. Використовується вкрай рідко

Користувачі: Можна приховати. Незважаючи на свою назву, даний контейнер не рекомендується використовувати для створення і зберігання призначених для користувача облікових записів. У OU Users зберігаються такі важливі доменні групи, як Domain Admins, Enterprise Admins, Schema Admins і т.д.

Керований Обслуговування Рахунки: Контейнер з’явився в Windows 2008 R2 і використовується для управління сервісними обліковими записами. Також можна приховати.

Комп’ютери: Стандартний OU для комп’ютерів, що додаються в домен (наприклад, за допомогою першого способу, описаного в статті Як включити Windows 8 в домен). Згідно з документацією Microsoft, не рекомендується використовувати даний контейнер для повсякденної роботи. Облікові записи, що з’являються тут потрібно переносити в продуктивні OU (в залежності від структури каталогу), або ж за допомогою команди redircmp перенаправляти комп’ютери відразу в нову OU (докладніше описано в статті Заміна стандартного OU Computers в AD).

В результаті, приховавши частину структури каталогів, в консолі не відображається нічого зайвого, і спрощується повсякденна робота адміністратора з консоллю з ADUC, за рахунок ось такого компактного виду. Якщо необхідно відредагувати будь-який об’єкт в «прихованої» частини AD, досить перемкнути консоль AD в «розширений вид».

"Легка" активна Директорія

Leave a Reply

Your email address will not be published. Required fields are marked *