Редактор атрибутов Active Directory, как открыть и использовать

Здравствуйте товарищи! Рад, что вы вновь заглянули на IT блог pyatilistnik.org. Я уже неоднократно вам рассказывал, о разных вещах посвященных активному каталогу (Active Directory), но так и не касался, довольно повседневной функциональности в виде редактора атрибутов AD. Сегодня я исправлю, этот недочет и мы с вами разберем. Что из себя представляет редактор атрибутов Active Directory, как его открыть, что он вам даст в вашей работе и как позволит эффективно его использовать. Думаю для многих инженеров или системных администраторов будет очень полезно, освежить знания в данной области.

Что такое редактор атрибутов Active Directory

И так ранее мы с вами установили Active Directory, и разобрались со всеми понятиями активного каталога, из которых мы выяснили, что администратор, получает информацию о всех объектах схемы в виде красивого графического интерфейса, например, оснастки ADUC, а вот контроллеры домена и другие компьютеры, получают информацию об объектах в виде языка LDAP, который лежит в основе Active Directory.

В итоге можно дать вот такое определение редактору атрибутов Actvie Directory - это дополнительная надстройка в графической утилите управления объектами активного каталога, позволяющая в удобном для человека редакторе, внести изменения в нужные атрибуты схемы, а так же проверить и посмотреть остальные значения в неизменяемых атрибутах.

Приведу простой пример использования редактора атрибутов:

• Необходимо узнать distinguished name
• Задать automapping для почты пользователю с правами только на чтение

Примеров может быть очень много, так как атрибутов огромное количество. ниже давайте разберемся, где все это можно посмотреть.

Как открыть редактор атрибутов Active Directory

Для того чтобы открыть редактор атрибутов, можно воспользоваться четырьмя методами:

• использование оснастки Active Directory пользователи и компьютеры
• использование Active Directory Administrative Center
• использование ADSI Edit редактора
• использование оболочки powershell

Ниже я хочу подробно рассмотреть, где и как редактировать атрибуты в данных инструментах.

Просмотр и редактирование атрибутов Active Directory в оснастке ADUC

Заходим в меню "Пуск", в котором находим пункт "Active Directory Пользователи и компьютеры" либо откройте окно "Выполнить" и введите служебное название dsa.msc. (Полный список названий служебных сокращений Windows, читайте по ссылке слева)

У вас откроется ADUC. Если вы зайдет в свойства любой учетной записи, в моем примере это Барбоскин Геннадий, то обнаружите, что редактор атрибутов в списке вкладок отсутствует. Чтобы его отобразить сделайте следующие действия.

Открываете вкладку "Вид", в меню находите пункт "Дополнительные компоненты", включаем его.

После чего, вкладка редактора атрибутов отобразиться в свойствах учетной записи объекта Active Directory.

Вот так вот выглядит редактор атрибутов Active Directory. У вас в виде списка будут перечисляться атрибуты и их значения. Если они доступны для редактирования, то вы их можете изменить, с помощью специальной кнопки. Сразу бросаются в глаза знакомые значения:

• CN (Common Name) - Отображаемое имя
• LastLogon - время логирования
• Discription - Описание

В момент изменения будет открыт редактор строковых или целочисленных атрибутов.

По умолчанию Active Directory в редакторе атрибутов, отображает, только атрибуты со значениями, то есть не пустые. Для того чтобы увидеть все атрибуты, вам необходимо применить фильтр, через соответствующую кнопку. Снимите галку "Отображать только атрибуты со значениями". Так же можно более тонко настроить фильтрацию и задать, например, показывать, только атрибуты доступные для записи (изменения вручную) или только системные. Я вам советую посмотреть все варианты и проверить, что каждый из них отображает. Переходим к ADSI Edit.

Редактирование атрибутов Active Directory в ADSI Edit

Напомню, что ADSI Edit - это служебная оснастка, которая позволяет подключаться к различным разделам базы данных Active Directory (Ntds.dit). Открыть "Редактор ADSI", можно также из меню "Пуск" на контроллере домена, либо так же через окно "Выполнить" (Сочетание клавиш WIN и R). Введите adsiedit.msc.

Далее в оснастке, кликните правым кликом по "Редактирование ADSI" и выберите "Подключение к"

Для того чтобы зайти в редактор атрибутов, выберите пункт "Выберите известный контекст именования". Подключаемся к стандартному, идущему по умолчанию.

Перед вами будет привычная вам структура из контейнеров и организационных подразделений. Переместитесь в нужное расположение и откройте свойства нужного вам объекта Active Directory.

Вы попадете на вкладку "Редактор атрибутов", который мы с вами уже видели в оснастке "Пользователи и компьютеры". Можете производить редактирования. Перейдем к третьему методу, использование Active Directory Administrative Center.

Редактирование атрибутов Active Directory в Центр администрирования Active Directory

Третий метод просмотра атрибутов у объектов AD, заключается в использовании оснастки "Центр администрирования Active Directory" (Active Directory Administrative Center). Открываем его через пуск или набрав команду в окне "Выполнить" dsac.exe.

Если кто-то не в курсе, то Центр администрирования Active Directory - это оснастка построенная на оболочке power shell, все что вы тут выполняете, делается в фоновом режиме именно этим языком, плюс вы всегда на выходе графических манипуляций, получите полную команду, как это делалось бы в power shell. Переходим в нужное расположение объекта.

Открываем его свойства, переходим на вкладку "Расширения" и перед вами будет, знакомый редактор атрибутов AD. Вот так вот его запрятали. Хочу отметить, что начиная с Windows Server 2012 R2, компания Microsoft старается продвигать все работы с объектами Active Directory именно в этой утилите и оснастке power shell и это понятно, у последнего возможностей в разы больше, чем у GUI собратьев. Поэтому, кто еще пока с ним не знаком, будет очень полезно начать именно с оснастки "Центр администрирования Active Directory", которая имеет подсказки, как все сделать через оболочку power shell.

Редактирование атрибутов Active Directory в Power Shell

На текущий момент самой актуальной версией power shell является 5-я, и компания Microsoft каждый год расширяет возможности данного языка на несколько сотен командлетов, помогая автоматизировать все, что вы хотите и удовлетворить потребности людей любящих операционные системы семейства Linux, например, CentOS. Чтобы посмотреть атрибуты пользователя, нам поможет командлет Get-ADUser и для того, чтобы изменить атрибут Set-ADUser.

Открываете power shell от имени администратора, первым делом необходимо выполнить импортирование модуля Active Directory, для того, чтобы вам подгрузились команды, отвечающие за доступ и получение информации с контроллеров домена, это можно делать на любой рабочей станции, у которой установлена операционная система не ниже Windows 7.

Вводим команду: Import-Module activedirectory. После чего запросим информацию о пользователе Барбоскине.

Как видите атрибутов Active Directory не так много вывелось, добавим ключик -Properties *

В итоге вывод оказался очень информативным.

Более подробно про вывод командлета Get-ADUser читайте на сайте Microsoft. Теперь давайте изменим, например, для пользователя Барбоскин его домашнюю страницу, для этого пишем:

Set-ADUser -Identity barboskin.g -HomePage 'http://pyatilistnik.org'

Как видите операционная система Windows позволяет вам редактировать и взаимодействовать с редактором атрибутов Active Directory разными методами, каждый вы будите использовать в разных ситуациях, для единичных изменений, вероятнее всего ADUC, для автоматизации, это будет несомненно power shell. Наверняка, есть еще и сторонний софт, но зачем он нужен, когда все идет из коробки.