Используем редактор атрибутов объектов Active Directory

Используем редактор атрибутов объектов Active Directory

Редактор атрибутов Active Directory (Attribute Editor) это встроенный графический инструмент для редактирования любых свойств объектов AD (пользователей, компьютеров, групп, сервисных учетных записей). С помощью редактора атрибута вы можете получить и изменить значения атрибутов объектов AD, которые недоступны в свойствах на стандартных вкладках объектов в консоли ADUC.

Встроенный Attribute Editor в консоли Active Directory Users and Computer

Чтобы воспользоваться редактором атрибутов AD, вам нужно установить MMC оснастку dsa.msc (ADUC / Active Directory Users and Computer), которая входит в состав средств администрирования RSAT для Windows (Remote Server Administration Tools). Для установки компонентов нужно выполнить следующую PowerShell команду:

  • В Windows 10/11:
    Add-WindowsCapability –online –Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0
  • В Windows Server 2022/2019/2016/2012R2 установка ролей и компонентов выполняется с помощью командлета Install-WindowsFeature:
    Install-WindowsFeature RSAT-ADDS

Встроенный редактор атрибутов Active Directory доступен в консоли ADUC, начиная с Windows Server 2008 R2.

Попробуйте открыть свойства любого пользователя в AD. Как вы видите основные атрибуты пользователя разделены на несколько вкладок. Основные из них:

Чтобы изменить значение одного из атрибутов пользователя, просто измените значение в поле и сохраните изменения, нажав клавишу Apply или OK.

В окне редактора атрибутов вам доступен только базовый набор свойств пользователя, хотя в классе User в AD гораздо больше атрибутов (200+).

 

свойства пользвоателя в консоли Active Directory

Чтобы отобразить расширенный редактор атрибутов, вам нужно включить в меню ADUC опцию View -> Advanced Features (Вид -> Дополнительные компоненты).

d0b8d181d0bfd0bed0bbd18cd0b7d183d0b5d0bc d180d0b5d0b4d0b0d0bad182d0bed180 d0b0d182d180d0b8d0b1d183d182d0bed0b2 d0bed0b1d18ad0b5d0ba 65d229d980c59 Advanced Features » width=»419″ height=»243″>

Теперь еще раз откройте свойства пользователя и обратите внимание, что появилась отдельная вкладка Attribute Editor. Если перейти на нее, перед вами откроется тот самый редактор атрибутов пользователя AD. Здесь в таблице представлен список всех атрибутов пользователя AD и их значения. Вы можете щелкнуть на любом атрибуте и изменить его значение. Например, изменив значение атрибута department, вы увидите, что сразу изменилось наименование департамента в свойствах пользователя на вкладке Organization.

Attribute Editor в консоли AD

Из редактора атрибутом можно скопировать значение поля distinguishedName (в формате
CN=Sergey A. Ivanov,OU=Users,OU=Msk,DC=winitpro,DC=ru
— уникальное имя объекта в AD), CN (
Common Name
), узнать дату создания учётной записи (whenCreated) и т.д.

Здесь же можно скопировать точные названия/значения атрибутов объектов для использования в ваших PowerShell скриптах.

Внизу окна редактора атрибутов AD присутствует кнопка Filter. По умолчанию в окне атрибутов отображаются только непустые атрибуты (включена опция Show only attributes that have values / Отображать только атрибуты со значениями). Если вы отключите эту опцию, в консоли будут показаны все атрибуты класса User. Также обратите внимание на опцию Show only writable attributes. Если включить ее, вам станут доступны только те атрибуты, на редактирование которых вам делегированы полномочия (если у вас нет прав на изменение атрибутов данного пользователя, список атрибутов будет пуст).

Фильтр в редакторе атрибутов пользвоателя AD - Show only attributes that have values

нет прав на атрибуты пользователя в ad

Также вы можете вывести только обязательные атрибуты объекта Filter -> Mandatory (для пользователя это
cn
,
objectCategory
,
objectClass
,
sAMAccountName
) или только дополнительные (необязательные атрибуты) – Filter -> Optional.

Для большинства атрибутов AD имеется встроенная функция декодирования значений. Например:

  • можно найти информацию о последнем входе пользователя в домен — атрибут lastLogonTimestamp (как вы видите, в консоли редактора атрибутов, время отображается в нормальном виде, но если щелкнуть по нему, вы увидите, что на самом деле время хранится в виде timestamp);lastLogonTimestamp формат timestamp
  • состояние учетной записи хранится в атрибуте userAccountControl. Вместо битовой маски вы видите более удобное представление. Например,
    0x200 = (NORMAL_ACCOUNT)
    вместо цифры 512;
    userAccountControl значение
  • однако фото пользователя в AD (атрибут thumbnailPhoto) не отображается, и хранится в бинарном виде.

Не отображается вкладка Attribute Editor через поиск Active Directory

Основной недостаток редактора атрибутов AD, он не открывается в свойствах объекта, если вы нашли его через поиск (почему так сделано — я не понимаю). Для использования Attribute Editor вы должны развернуть в дереве AD контейнер (Organizational Unit, OU), в котором находится объект, найти в списке нужный объект и открыть его свойства (все это довольно не удобно).

Для себя я нашел небольшой лайфхак, который позволяет открыть редактор атрибутов пользователя, найденного через поиск в консоли ADUC.

Итак:

  1. С помощью поиска найдите нужного пользователя;
  2. Перейдите на вкладку со списком групп пользователя (Member of);
  3. Откройте одну из групп (желательно, чтобы в ней было как можно меньше пользователей);
  4. В свойствах группы перейдите на вкладку с членами группы (Member) и закройте (!) окно свойств пользователя;
    свойства пользователя AD - список групп
  5. Теперь в списке членов группы щелкните по своему пользователю и перед вами откроется окно свойств пользователя со вкладкой Attribute Editor.
    attribute editor ad через поиск

Также вы можете открыть редактор атрибутов пользователя без его ручного выбора в дереве AD через сохраненные запросы в консоли ADUC.

сохраненный запрос в консоли AD

Либо вы можете использовать консол Active Directory Administrative Center (
dsac.msc
), в котором вкладка редактора атрибутов пользователя (компьютера) доступна даже через поиск (вкладка Extension).

Active Directory Administrative Center редактор атрибутов

Вместо Attribute Editor для просмотра и редактирования всех атрибутов пользователей, групп и компьютеров можно использовать командлеты PowerShell:

Просмотр значений всех атрибутов объектов:

Чтобы изменить атрибуты объектов в AD соответственно используются командлеты
Set-ADUser
,
Set-ADComputer
и
Set-ADGroup
.

Редактирование атрибутов Active Directory с помощью ADSI Edit

Консоль служебного редактора ADSI Edit (Active Directory Service Interface Edit) представляет собой более низкоуровневое средство для управления и редактирования объектов и атрибутов в LDAP каталогах (в том числе в разделах базы данных Active Directory — NTDS.dit). Консоль ADSI Edit можно использовать для редактирования атрибутов, объектов и разделов каталога, которые не доступны через стандартные MMC оснастки Active Directory, исправления ошибок Active Directory и различных объектов служб использующих AD для хранения конфигурации (Exchange, SCCM).

Чтобы запустить консоль ADSI Edit, выполните команду Win + R ->
adsiedit.msc
.

При первом запуске MMC консоли вам будет предложено выбрать контен наименования Active Directory, к которому нужно подключиться (Actions -> Connect to). Доступны следующие разделы:

  • Default naming context
  • Configuration
  • RootDSE
  • Schema

adsi edit подключение к active directory

В нашем примере мы будем использовать консоль ADSI как редактор атрибутов пользователей/компьютеров, поэтому нужно подключиться к Default naming context.

Перед вами появиться ваша древовидная структура контейнеров и OU в AD. Здесь вы можете открыть свойства найти нужного объект Active Directory. Перед вами появится окно редактора атрибутов объекта. Здесь вы можете просмотреть или изменить значения свойств пользователя/компьютера/группы.

редактор атрибутов объектов ad в консоли adsiedit.msc

Будьте особо внимательными при редактировании разделов схемы и атрибутов объектов через ADSI Edit. Эта утилита позволяет писать изменения напрямую в базу данных, схему и конфигурацию AD, и обходить простейшие проверки и ограничения, которые есть в других MMC консолях. Рекомендуем создать резервную копию AD перед внесением изменений с помощь базы с помощью adsiedit.msc.

Qiziqarli malumotlar
Используем редактор атрибутов объектов Active Directory