Используем редактор атрибутов объектов Active Directory

Редактор атрибутов Active Directory (Attribute Editor) это встроенный графический инструмент для редактирования любых свойств объектов AD (пользователей, компьютеров, групп, сервисных учетных записей ). С помощью редактора атрибута вы можете получить и изменить значения атрибутов объектов AD, которые недоступны в свойствах на стандартных вкладках объектов в консоли ADUC.

Встроенный Attribute Editor в консоли Active Directory Users and Computer

Чтобы воспользоваться редактором атрибутов AD, вам нужно установить MMC оснастку dsa.msc ( ADUC / Active Directory Users and Computer), которая входит в состав средств администрирования RSAT для Windows (Remote Server Administration Tools). Для установки компонентов нужно выполнить следующую PowerShell команду:

• В Windows 10/11: Add-WindowsCapability –online –Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0
• В Windows Server 2022/2019/2016/2012R2 установка ролей и компонентов выполняется с помощью командлета Install-WindowsFeature: Install-WindowsFeature RSAT-ADDS

Попробуйте открыть свойства любого пользователя в AD. Как вы видите основные атрибуты пользователя разделены на несколько вкладок. Основные из них:

• Общие (General) – основные свойства пользователя, которые задаются при создании учетной записи в AD (имя, фамилия, телефон, email и т.д.);
• Адрес (Address);
• Учетная запись (Account) – имя учетной записи (samAccountName, userPrincipalName ). Здесь можно указать список компьютеров, на которых разрешено работать пользователю ( LogonWorkstations ), опции: пароль не истекает , пользователь не может сменить пароль, включена ли учетная запись и ее срок действия и т.д. Здесь же можно разблокировать пользователя, если его учетная запись заблокирована из-за неверно введенного пароля;
• Профиль (Profile) – можно настроить путь к профилю пользователя (в сценариях с перемещаемыми профилями ); скрипт, выполняемый при входе, домашнюю папку, сетевой диск;
• Телефоны (Telephones);
• Организация (Organization) – должность, департамент, компания пользователя, имя менеджера;
• Remote Control – настройки теневого подключения к сессии пользователя в Windows ;
• Sessions – таймауты (лимиты) для RDP/RDS подключений ;
• Member Of – список групп пользователя.

Чтобы изменить значение одного из атрибутов пользователя, просто измените значение в поле и сохраните изменения, нажав клавишу Apply или OK.

В окне редактора атрибутов вам доступен только базовый набор свойств пользователя, хотя в классе User в AD гораздо больше атрибутов (200+).

Чтобы отобразить расширенный редактор атрибутов, вам нужно включить в меню ADUC опцию View -> Advanced Features ( Вид -> Дополнительные компоненты ).

Теперь еще раз откройте свойства пользователя и обратите внимание, что появилась отдельная вкладка Attribute Editor . Если перейти на нее, перед вами откроется тот самый редактор атрибутов пользователя AD. Здесь в таблице представлен список всех атрибутов пользователя AD и их значения. Вы можете щелкнуть на любом атрибуте и изменить его значение. Например, изменив значение атрибута department, вы увидите, что сразу изменилось наименование департамента в свойствах пользователя на вкладке Organization.

Из редактора атрибутом можно скопировать значение поля distinguishedName (в формате CN=Sergey A. Ivanov,OU=Users,OU=Msk,DC=remontka,DC=ru — уникальное имя объекта в AD), CN ( Common Name ), узнать дату создания учётной записи (whenCreated) и т.д.

Внизу окна редактора атрибутов AD присутствует кнопка Filter. По умолчанию в окне атрибутов отображаются только непустые атрибуты (включена опция Show only attributes that have values / Отображать только атрибуты со значениями ). Если вы отключите эту опцию, в консоли будут показаны все атрибуты класса User. Также обратите внимание на опцию Show only writable attributes . Если включить ее, вам станут доступны только те атрибуты, на редактирование которых вам делегированы полномочия (если у вас нет прав на изменение атрибутов данного пользователя, список атрибутов будет пуст).

Также вы можете вывести только обязательные атрибуты объекта Filter -> Mandatory (для пользователя это cn , objectCategory , objectClass , sAMAccountName ) или только дополнительные (необязательные атрибуты) – Filter -> Optional.

Для большинства атрибутов AD имеется встроенная функция декодирования значений. Например:

• можно найти информацию о последнем входе пользователя в домен — атрибут lastLogonTimestamp (как вы видите, в консоли редактора атрибутов, время отображается в нормальном виде, но если щелкнуть по нему, вы увидите, что на самом деле время хранится в виде timestamp );
• состояние учетной записи хранится в атрибуте userAccountControl . Вместо битовой маски вы видите более удобное представление. Например, 0x200 = (NORMAL_ACCOUNT) вместо цифры 512;
  
• однако фото пользователя в AD ( атрибут thumbnailPhoto ) не отображается, и хранится в бинарном виде.

Не отображается вкладка Attribute Editor через поиск Active Directory

Основной недостаток редактора атрибутов AD, он не открывается в свойствах объекта, если вы нашли его через поиск (почему так сделано — я не понимаю). Для использования Attribute Editor вы должны развернуть в дереве AD контейнер ( Organizational Unit, OU ), в котором находится объект, найти в списке нужный объект и открыть его свойства (все это довольно не удобно).

Для себя я нашел небольшой лайфхак, который позволяет открыть редактор атрибутов пользователя, найденного через поиск в консоли ADUC.

Итак:

1. С помощью поиска найдите нужного пользователя;
2. Перейдите на вкладку со списком групп пользователя (Member of);
3. Откройте одну из групп (желательно, чтобы в ней было как можно меньше пользователей);
4. В свойствах группы перейдите на вкладку с членами группы (Member) и закройте (!) окно свойств пользователя;
   
5. Теперь в списке членов группы щелкните по своему пользователю и перед вами откроется окно свойств пользователя со вкладкой Attribute Editor.
   

Также вы можете открыть редактор атрибутов пользователя без его ручного выбора в дереве AD через сохраненные запросы в консоли ADUC.

Либо вы можете использовать консол Active Directory Administrative Center ( dsac.msc ), в котором вкладка редактора атрибутов пользователя (компьютера) доступна даже через поиск (вкладка Extension).

Вместо Attribute Editor для просмотра и редактирования всех атрибутов пользователей, групп и компьютеров можно использовать командлеты PowerShell:

Просмотр значений всех атрибутов объектов:

• Пользователя: Get-ADUser username -Properties *
• Компьютера: Get-ADСomputer computername -Properties *
• Группы: Get-ADGroup groupname -Properties *

Чтобы изменить атрибуты объектов в AD соответственно используются командлеты Set-ADUser , Set-ADComputer и Set-ADGroup .

Редактирование атрибутов Active Directory с помощью ADSI Edit

Консоль служебного редактора ADSI Edit (Active Directory Service Interface Edit) представляет собой более низкоуровневое средство для управления и редактирования объектов и атрибутов в LDAP каталогах (в том числе в разделах базы данных Active Directory — NTDS.dit). Консоль ADSI Edit можно использовать для редактирования атрибутов, объектов и разделов каталога, которые не доступны через стандартные MMC оснастки Active Directory, исправления ошибок Active Directory и различных объектов служб использующих AD для хранения конфигурации (Exchange, SCCM).

Чтобы запустить консоль ADSI Edit, выполните команду Win + R -> adsiedit.msc .

При первом запуске MMC консоли вам будет предложено выбрать контен наименования Active Directory, к которому нужно подключиться ( Actions -> Connect to ). Доступны следующие разделы:

• Default naming context
• Configuration
• RootDSE
• Schema

В нашем примере мы будем использовать консоль ADSI как редактор атрибутов пользователей/компьютеров, поэтому нужно подключиться к Default naming context .

Перед вами появиться ваша древовидная структура контейнеров и OU в AD. Здесь вы можете открыть свойства найти нужного объект Active Directory. Перед вами появится окно редактора атрибутов объекта. Здесь вы можете просмотреть или изменить значения свойств пользователя/компьютера/группы.