Редактор атрибутов Active Directory — это встроенный графический инструмент для управления свойствами объектов AD (пользователей, компьютеров, групп). Именно в редакторе атрибутов можно просматривать и изменять значения атрибутов объектов AD, которые недоступны в свойствах объекта, отображаемых в консоли ADUC.
Включение вкладки «Редактор атрибутов» в Active Directory Users and Computers
Чтобы использовать редактор атрибутов AD, необходимо установить программу dsa.msc оснастку (ADUC — Active Directory Users and Computers), которая является частью RSAT (Remote Server Administration Tools) для Windows. Чтобы установить компоненты управления Active Directory, выполните следующую команду PowerShell:
- В Windows 10 и 11:
Add-WindowsCapability –online –Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 - На Windows Server 2022/2019/2016/2012R2 можно установить роли и функции с помощью команды Install-WindowsFeature:
Install-WindowsFeature RSAT-ADDS
Попробуйте открыть свойства любого пользователя в AD. Как видите, доступно несколько вкладок с атрибутами пользователя. Вот основные из них:
- Общие — основные свойства пользователя, которые задаются при создании учетной записи AD (имя, фамилия, номер телефона, адрес электронной почты и т. д.).
- Адрес
- Счет — имя учетной записи (samAccountName, userPrincipalName). Здесь можно указать список компьютеров, на которых пользователь может войти в систему (LogonWorkstations), или следующие параметры: срок действия пароля, пользователь не может изменить пароль, включенная/отключенная учетная запись, дата окончания действия учетной записи и т. д. Здесь же можно включить пользователя, если его учетная запись заблокирована из-за ввода неправильного пароля в соответствии с политикой паролей домена;
- Профиль — можно задать путь к профилю пользователя (в сценарии с перемещаемыми профилями), сценарию входа в систему, домашней папке и сопоставленной сетевой папке.
- Телефоны
- Организация — должность, отдел, компания, имя руководителя;
- Удаленное управление — настройки для теневого подключения к сеансу пользователя в Windows;
- Сессии — таймауты (ограничения) для сеансов RDP/RDS;
- Член — список групп Active Directory, членом которых является пользователь.
Чтобы изменить значение одного из атрибутов пользователя, просто измените значение в поле и сохраните изменения, нажав кнопку Применить или OK.
В этом окне вам доступен только базовый набор свойств пользователя, но класс User в AD содержит гораздо больше атрибутов (200+).
Чтобы включить расширенный редактор атрибутов Active Directory, установите флажок Расширенные возможности в ADUC Посмотреть меню.
Затем снова откройте свойства пользователя и обратите внимание на то, что отдельный Редактор атрибутов появилась вкладка. Если вы переключитесь на нее, откроется редактор атрибутов пользователя AD. Вы можете увидеть список всех атрибутов пользователя и их значения в виде таблицы. Вы можете щелкнуть любой атрибут, чтобы изменить его значение. Например, если вы измените значение атрибута department, вы увидите, что название отдела на вкладке Organization в свойствах пользователя также изменилось.
В редакторе атрибутов можно скопировать значение distinguishedName (в таком формате: CN=Jon Brion,OU=Users,OU=California,OU=USA,DC=woshub,DC=com — уникальное имя объекта в AD), найти дату создания учетной записи (whenCreated) и т. д.
Существует Фильтр кнопка в нижней части формы редактора атрибутов AD. По умолчанию в окне атрибутов отображаются только непустые объектные атрибуты (в поле Показывать только атрибуты, имеющие значения опция отмечена). Если вы снимите этот флажок, в редакторе будут показаны все атрибуты класса User. Также обратите внимание на Показывать только записываемые атрибуты опция. Если вы включите ее, будут показаны только те атрибуты, на которые вам делегированы права на редактирование (если у вас нет прав на изменение атрибутов этого пользователя, список атрибутов будет пустым).
Вы также можете отобразить только обязательные атрибуты с помощью опции Filter -> Mandatory (для пользователя это cn, objectCategory, objectClass, sAMAccountName) или только дополнительные (необязательные атрибуты) с помощью Filter -> Optional.
Большинство атрибутов AD имеют встроенную функцию декодирования значений. Например:
- Вы можете проверить время последнего входа пользователя домена в систему с помощью функции lastLogonTimestamp атрибут. Как видите, в редакторе атрибутов время отображается нормально, но если вы щелкните его, то увидите, что время хранится в виде временной метки;
- Состояние учетной записи хранится в атрибуте userAccountControl атрибут. Вместо битовой маски вы видите более удобный вид. Например,
0x200 = (NORMAL_ACCOUNT)вместо 512;
- Однако фотография пользователя в AD (атрибут thumbnailPhoto) не отображается и хранится в двоичном формате.
Чтобы просмотреть значения всех атрибутов объекта:
- пользователя:
Get-ADUser username -Properties * - компьютера:
Get-ADComputer computername -Properties * - группы:
Get-ADGroup groupname -Properties *
Для изменения атрибутов объектов в AD используются команды Set-ADUser, Set-ADComputer и Set-ADGroup соответственно.
Отсутствие вкладки редактора атрибутов в результатах поиска Active Directory
Основным недостатком редактора атрибутов AD является то, что он не отображается в свойствах объекта, если вы нашли его с помощью поиска в Active Directory. Чтобы воспользоваться редактором атрибутов, необходимо развернуть контейнер (Organizational Unit, OU), содержащий нужный вам объект в дереве AD, найти объект в списке и открыть его свойства (это довольно неудобно).
Я нашел небольшой трюк, который позволяет открыть редактор атрибутов для пользователя, если вы нашли учетную запись через поиск в консоли ADUC.
- Используйте поиск, чтобы найти нужного вам пользователя;
- Перейдите на вкладку со списком групп пользователей (Член);
- Откройте одну из групп (лучше, чтобы в ней было как можно меньше пользователей);
- В свойствах группы перейдите к пункту Члены вкладка и закрытие (!) в окне свойств пользователя;
- Затем щелкните нужного вам пользователя в списке членов группы, после чего появится окно свойств пользователя с вкладкой Attribute Editor.
Вы также можете открыть редактор атрибутов с помощью сохраненных запросов Active Directory. Например, вы можете использовать следующий запрос, чтобы найти пользователя по его имени: (objectcategory=person)(samaccountname=*andrey*)
Или вы можете использовать новый Центр администрирования Active Directory оснастка (dsac.msc), где вкладка «Редактор атрибутов пользователя (компьютера)» доступна даже для результатов поиска (проверьте Расширение вкладка).
Изменение атрибутов объектов Active Directory с помощью ADSI Edit
The ADSI Edit (Active Directory Service Interface Edit) — это инструмент нижнего уровня для управления и редактирования объектов и атрибутов в каталогах LDAP (в том числе в разделах базы данных Active Directory, NTDS.dit). Консоль ADSI Edit можно использовать для редактирования атрибутов, объектов и разделов каталогов, недоступных через стандартные оснастки MMC Active Directory, исправления ошибок Active Directory и различных объектов служб, использующих AD для хранения своей конфигурации (Exchange, SCCM).
Чтобы открыть оснастку ADSI Edit, нажмите клавиши Win + R и запустите команду adsiedit.msc команду.
При первом запуске консоли ADSI вам будет предложено выбрать контекст именования Active Directory, к которому вы хотите подключиться (Actions -> Connect to). Доступны следующие разделы:
- Контекст именования по умолчанию
- Конфигурация
- RootDSE
- Схема
В нашем примере мы будем использовать консоль ADSI в качестве редактора атрибутов пользователя/компьютера, поэтому нам нужно подключиться к Контекст именования по умолчанию.
Вы увидите древовидную структуру контейнеров и OUs в AD. Здесь вы можете найти нужный объект Active Directory и открыть его свойства. Вы увидите окно редактора атрибутов объекта. Здесь вы можете просмотреть или изменить значения атрибутов пользователя/компьютера/группы.
adsiedit.msc.