Editor Atribut Objek Direktori Aktif bawaan di ADUC

Editor Atribut adalah alat grafis terintegrasi untuk menyempurnakan properti objek AD (pengguna, komputer, grup). Dari editor atribut, Anda bisa mendapatkan dan mengubah nilai atribut objek AD yang tidak tersedia di properti objek di konsol ADUC.

Konten:

  • Menggunakan Editor Atribut di Pengguna Direktori Aktif dan Konsol Komputer
  • Tab Editor Atribut Tidak Tersedia Melalui Pencarian Direktori Aktif

Jika saya tidak salah, Editor Atribut Objek Direktori Aktif bawaan muncul di Windows Server 2008 R2. Sebelum itu, Anda harus menggunakan editor Edit ADSI yang jauh lebih tidak nyaman untuk mengedit properti tersembunyi dari objek AD..

Menggunakan Editor Atribut di Pengguna Direktori Aktif dan Konsol Komputer

Jadi, untuk menggunakan editor atribut AD, Anda perlu menginstal snap-in dsa.msc (atau ADUC - Pengguna dan Komputer Direktori Aktif).

Cobalah untuk membuka properti pengguna mana pun di AD. Seperti yang Anda lihat, beberapa tab dengan atribut pengguna tersedia. Yang utama adalah:

  • Jenderal (Umum) - properti pengguna utama yang ditetapkan saat membuat akun di AD (nama, nama keluarga, telepon, email, dll.);
  • Alamatnya (Alamat);
  • Akun (Akun) - nama akun (samAccountName, userPrincipalName). Di sini Anda dapat menentukan daftar komputer tempat pengguna diizinkan bekerja (LogonWorkstations), opsi: kata sandi tidak kedaluwarsa, pengguna tidak dapat mengubah kata sandi, apakah akun diaktifkan dan masa berlakunya, dll;
  • Profil (Profil) - Anda dapat mengonfigurasi jalur ke profil pengguna (dalam skenario dengan profil roaming); skrip yang dijalankan saat entri, folder rumah, drive jaringan;
  • Telepon (Telepon);
  • Organisasi (Organisasi) - posisi, departemen, perusahaan pengguna, nama manajer.

Di jendela ini, hanya set dasar properti pengguna yang tersedia untuk Anda, meskipun kelas Pengguna di AD memiliki lebih banyak atribut (200+).

Untuk menampilkan editor atribut lanjutan, Anda harus mengaktifkan opsi di menu ADUC Lihat -> Fitur-fitur canggih (Lihat -> Komponen tambahan).

Sekarang buka properti pengguna lagi dan perhatikan bahwa tab terpisah telah muncul Editor Atribut. Jika Anda melakukannya, Anda akan melihat editor atribut pengguna AD yang sama. Tabel ini menyediakan daftar semua atribut pengguna AD dan artinya. Anda dapat mengklik atribut apa saja dan mengubah nilainya. Misalnya, dengan mengubah nilai atribut departemen, Anda akan melihat bahwa nama departemen di properti pengguna di tab Organisasi segera berubah.

Dari editor, atribut dapat menyalin nilai bidang dibedakanName (dalam format CN = Sergey A. Ivanov, OU = Pengguna, OU = Msk, DC = winitpro, DC = ru - nama unik objek di AD), CN (Nama Umum), cari tahu tanggal pembuatan akun (saat dibuat), dll..

Di bagian bawah jendela AD Attribute Editor, ada tombol Filter. Secara default, hanya atribut yang tidak kosong yang ditampilkan di jendela atribut (opsi ini diaktifkan Tampilkan hanya atribut yang memiliki nilai) Jika Anda menonaktifkan opsi ini, semua atribut dari kelas Pengguna akan ditampilkan di konsol. Juga perhatikan opsi Tampilkan hanya atribut yang bisa ditulisi. Jika Anda mengaktifkannya, Anda hanya akan memiliki akses ke atribut yang telah Anda delegasikan otoritasnya (jika Anda tidak memiliki izin untuk mengubah atribut pengguna ini, daftar atribut akan kosong).

Sebagian besar atribut AD memiliki fungsi penguraian nilai bawaan. Sebagai contoh:

  • Anda dapat menemukan informasi tentang entri terakhir pengguna ke domain - atribut lastLogonTimestamp (seperti yang Anda lihat di konsol editor atribut, waktu ditampilkan dalam bentuk normal, tetapi jika Anda mengkliknya, Anda akan melihat bahwa waktu sebenarnya disimpan dalam bentuk timestamp);
  • status akun disimpan dalam atribut userAccountControl. Alih-alih bitmask, Anda melihat tampilan yang lebih nyaman. Misalnya, 0x200 = (NORMAL_ACCOUNT) bukan digit 512;
  • namun, foto pengguna dalam AD (atribut thumbnailPhoto) tidak ditampilkan, dan disimpan dalam bentuk biner;

Tab Editor Atribut Tidak Tersedia Melalui Pencarian Direktori Aktif

Kelemahan utama editor atribut AD, itu tidak terbuka di properti objek, jika Anda menemukannya melalui pencarian (mengapa ini dilakukan - saya tidak mengerti). Untuk menggunakan Editor Atribut, Anda harus memperluas wadah (OU) di pohon AD di mana objek berada, menemukan objek yang diinginkan dalam daftar dan membuka propertinya (semua ini sangat tidak nyaman).

Bagi saya sendiri, saya menemukan hack kehidupan kecil yang masih memungkinkan Anda untuk membuka editor atribut pengguna yang ditemukan melalui pencarian di konsol ADUC.

Jadi:

  1. Gunakan pencarian untuk menemukan pengguna yang tepat;
  2. Buka tab dengan daftar grup pengguna (Anggota);
  3. Buka salah satu grup (diharapkan memiliki sesedikit mungkin pengguna);
  4. Di properti grup, buka tab dengan anggota grup (Anggota) dan tutup (!) Jendela properti pengguna;
  5. Sekarang di daftar anggota grup, klik pada pengguna Anda dan Anda akan melihat jendela properti pengguna dengan tab Editor Atribut.

Anda juga dapat membuka editor atribut pengguna tanpa memilihnya secara manual di pohon AD melalui kueri tersimpan di konsol ADUC.

Atau Anda dapat menggunakan Pusat Administrasi Direktori Aktif, di mana tab untuk editor atribut pengguna (komputer) dapat diakses bahkan melalui pencarian (tab Extension).

Alih-alih Editor Atribut, Anda dapat menggunakan cmdlet PowerShell untuk melihat dan mengedit semua atribut pengguna, grup, dan komputer:

Lihat nilai semua atribut objek:

  • Pengguna: Dapatkan-ADUserver pengguna -Properti *
  • Komputer: Dapatkan-ADСomputer computername -Properties *
  • Grup: Dapatkan-ADGroup groupname -Properti *

Untuk mengubah atribut objek dalam AD, cmdlet digunakan sesuai Set-aduser, Set-adcomputer dan Set-adgroup.