Редактор атрибутов Active Directory, как открыть и использовать

Обновлено 30.06.2022

редактор атрибутов active directory

Здравствуйте товарищи! Рад, что вы вновь заглянули на IT блог pyatilistnik.org. Я уже неоднократно вам рассказывал, о разных вещах посвященных активному каталогу (Active Directory), но так и не касался, довольно повседневной функциональности в виде редактора атрибутов AD. Сегодня я исправлю, этот недочет и мы с вами разберем. Что из себя представляет редактор атрибутов Active Directory, как его открыть, что он вам даст в вашей работе и как позволит эффективно его использовать. Думаю для многих инженеров или системных администраторов будет очень полезно, освежить знания в данной области.

Что такое редактор атрибутов Active Directory

И так ранее мы с вами установили Active Directory, и разобрались со всеми понятиями активного каталога, из которых мы выяснили, что администратор, получает информацию о всех объектах схемы в виде красивого графического интерфейса, например, оснастки ADUC, а вот контроллеры домена и другие компьютеры, получают информацию об объектах в виде языка LDAP, который лежит в основе Active Directory.

В итоге можно дать вот такое определение редактору атрибутов Actvie Directory - это дополнительная надстройка в графической утилите управления объектами активного каталога, позволяющая в удобном для человека редакторе, внести изменения в нужные атрибуты схемы, а так же проверить и посмотреть остальные значения в неизменяемых атрибутах.

Приведу простой пример использования редактора атрибутов:

  • Необходимо узнать distinguished name
  • Задать automapping для почты пользователю с правами только на чтение

Примеров может быть очень много, так как атрибутов огромное количество. ниже давайте разберемся, где все это можно посмотреть.

Как открыть редактор атрибутов Active Directory

Для того, чтобы открыть редактор атрибутов, можно воспользоваться четыремя методами:

  • использование оснастки Active Directory пользователи и компьютеры
  • использование Active Directory Administrative Center
  • использование ADSI Edit редактора
  • использование оболочки powershell

Хочу отметить, что оснастку ADUC вы будите использовать куда чаще, чем ADSI Edit редактор, думаю объяснять почему не стоит

Ниже я хочу подробно рассмотреть, где и как редактировать атрибуты в данных инструментах.

Просмотр и редактирование атрибутов Active Directory в оснастке ADUC

Заходим в меню "Пуск", в котором находим пункт "Active Directory Пользователи и компьютеры" либо откройте окно "Выполнить" и введите служебное название dsa.msc. (Полный список названий служебных сокращений Windows, читайте по ссылке слева)

Окно выполнить dsa.msc

У вас откроется ADUC. Если вы зайдет в свойства любой учетной записи, в моем примере это Барбоскин Геннадий, то обнаружите, что редактор атрибутов в списке вкладок отсутствует. Чтобы его отобразить сделайте следующие действия.

Отсутствие редактора атрибутов в ADUC

Открываете вкладку "Вид", в меню находите пункт "Дополнительные компоненты", включаем его.

Включение редактора атрибутов в ADUC

После чего, вкладка редактора атрибутов отобразиться в свойствах учетной записи объекта Active Directory.

Если у вас не появилась вкладка "Редактор атрибутов", после включения дополнительных компонентов, то знайте, он будет отображаться у объекта, только если вы зайдете в организационное подразделение (OU) в котором он хранится.

Вот так вот выглядит редактор атрибутов Active Directory. У вас в виде списка будут перечисляться атрибуты и их значения. Если они доступны для редактирования, то вы их можете изменить, с помощью специальной кнопки. Сразу бросаются в глаза знакомые значения:

  • CN (Common Name) - Отображаемое имя
  • LastLogon - время логирования
  • Discription - Описание

Редактор атрибутов в свойствах учетной записи ADUC

В момент изменения будет открыт редактор строковых или целочисленных атрибутов.

Изменение атрибута в ADUC

По умолчанию Active Directory в редакторе атрибутов, отображает, только атрибуты со значениями, то есть не пустые. Для того, чтобы увидеть все атрибуты, вам необходимо применить фильтр, через соответствующую кнопку. Снимите галку "Отображать только атрибуты со значениями". Так же можно более тонко настроить фильтрацию и задать, например, показывать, только атрибуты доступные для записи (изменения вручную) или только системные. Я вам советую посмотреть все варианты и проверить, что каждый из них отображает. Переходим к ADSI Edit.

Фильтр редактора атрибутов Active Directory

Редактирование атрибутов Active Directory в ADSI Edit

Напомню, что ADSI Edit - это служебная оснастка, которая позволяет подключаться к различным разделам базы данных Active Directory (Ntds.dit). Открыть "Редактор ADSI", можно также из меню "Пуск" на контроллере домена, либо так же через окно "Выполнить" (Сочетание клавиш WIN и R). Введите adsiedit.msc.

Открываем редактор ADSI

Далее в оснастке, кликните правым кликом по "Редактирование ADSI" и выберите "Подключение к"

Подключение в ADSIEdit

Для того чтобы зайти в редактор атрибутов, выберите пункт "Выберите известный контекст именования". Подключаемся к стандартному, идущему по умолчанию.

Контекст именования ADSIEdit

Перед вами будет привычная вам структура из контейнеров и организационных подразделений. Переместитесь в нужное расположение и откройте свойства нужного вам объекта Active Directory.

Свойства учетной записи в ADSI Edit

Вы попадете на вкладку "Редактор атрибутов", который мы с вами уже видели в оснастке "Пользователи и компьютеры". Можете производить редактирования. Перейдем к третьему методу, использование Active Directory Administrative Center.

атрибуты учетной записи в ADSI Edit

Редактирование атрибутов Active Directory в Центр администрирования Active Directory

Третий метод просмотра атрибутов у объектов AD, заключается в использовании оснастки "Центр администрирования Active Directory" (Active Directory Administrative Center). Открываем его через пуск или набрав команду в окне "Выполнить" dsac.exe.

Если кто-то не в курсе, то Центр администрирования Active Directory - это оснастка построенная на оболочке power shell, все что вы тут выполняете, делается в фоновом режиме именно этим языком, плюс вы всегда на выходе графических манипуляций, получите полную команду, как это делалось бы в power shell. Переходим в нужное расположение объекта.

Центр администрирования Active Directory

Открываем его свойства, переходим на вкладку "Расширения" и перед вами будет, знакомый редактор атрибутов AD. Вот так вот его запрятали. Хочу отметить, что начиная с Windows Server 2012 R2, компания Microsoft старается продвигать все работы с объектами Active Directory именно в этой утилите и оснастке power shell и это понятно, у последнего возможностей в разы больше, чем у GUI собратьев. Поэтому, кто еще пока с ним не знаком, будет очень полезно начать именно с оснастки "Центр администрирования Active Directory", которая имеет подсказки, как все сделать через оболочку power shell.

Редактор атрибутов в Active Directory Administrative Center

Редактирование атрибутов Active Directory в Power Shell

На текущий момент самой актуальной версией power shell является 5-я, и компания Microsoft каждый год расширяет возможности данного языка на несколько сотен командлетов, помогая автоматизировать все, что вы хотите и удовлетворить потребности людей любящих операционные системы семейства Linux, например, CentOS. Чтобы посмотреть атрибуты пользователя, нам поможет командлет Get-ADUser и для того, чтобы изменить атрибут Set-ADUser.

Подробнее про команды: Get-ADUser и Set-ADUser

Открываете power shell от имени администратора, первым делом необходимо выполнить импортирование модуля Active Directory, для того, чтобы вам подгрузились команды, отвечающие за доступ и получение информации с контроллеров домена, это можно делать на любой рабочей станции, у которой установлена операционная система не ниже Windows 7.

Вводим команду: Import-Module activedirectory. После чего запросим информацию о пользователе Барбоскине.

Get-ADUser -identity barboskin.g

Вывод атрибутов пользователя в Power shell

Как видите атрибутов Active Directory не так много вывелось, добавим ключик -Properties *

Get-ADUser barboskin.g -Properties *

В итоге вывод оказался очень информативным.

Вывод атрибутов пользователя в Power shell-2

Более подробно про вывод командлета Get-ADUser читайте на сайте Microsoft. Теперь давайте изменим, например, для пользователя Барбоскин его домашнюю страницу, для этого пишем:

Set-ADUser -Identity barboskin.g -HomePage 'http://pyatilistnik.org'

Как видите операционная система Windows позволяет вам редактировать и взаимодействовать с редактором атрибутов Active Directory разными методами, каждый вы будите использовать в разных ситуациях, для единичных изменений, вероятнее всего ADUC, для автоматизации, это будет несомненно power shell. Наверняка, есть еще и сторонний софт, но зачем он нужен, когда все идет из коробки.

Автор - Сёмин Иван

3 Responses to Редактор атрибутов Active Directory, как открыть и использовать

  1. support:

    Добрый вечер.
    Спасибо за статью.
    А как создавать новый атрибут, который будет отображаться во всех учётках данного DC?

  2. Иван Семин:

    Добрый день! Нужно иметь права администратора схемы, расширить ее нужным атрибутом, если нужно могу написать статейку.

  3. Ренат:

    Спасибо за статью.
    Присоединяюсь к вопросу про новый атрибут, который будет отображаться во всех учётках… Очень жду статью на эту тему.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *