- Введение
- Изменение атрибутов на вкладках свойств учетной записи пользователя
- Просмотр и изменение атрибутов, не отображаемых в свойствах объектов пользователей
- Заключение
Введение
Любой системный администратор знает, что самыми распространенными задачами, выполняемыми в доменных службах Active Directory являются задачи, связанные с управлением принципалами безопасности, такими как учетные записи пользователей. В одной из предыдущих статей я описывал способы создания пользовательских учетных записей. Но все мы прекрасно понимаем, что создание учетной записи пользователя – это лишь первый шаг всего жизненного цикла пользователей в домене Active Directory. После создания учетной записи пользователя, вам еще нужно отконфигурировать атрибуты объекта пользователя в зависимости от требований вашей организации, а также, возможно, настроить определенные свойства учетной записи. Насколько вы знаете, при создании пользовательской учетной записи средствами графического интерфейса, а именно, при помощи оснастки «Active Directory – пользователи и компьютеры», вы заполняете такие атрибуты объекта пользователя, как имя пользователя, фамилию, имя входа, а также пароль. При создании объекта одни атрибуты являются обязательными, а другие – опциональными. Объект пользователя может содержать свыше 250 атрибутов, как созданных операционной системой, так и созданных системным администратором. Из всех атрибутов объектов учетных записей пользователей, существуют всего шесть обязательных атрибутов:
- cn. Атрибут, который используется для отображения свойств имени. Это поле должно быть уникальным во всем домене, и заполняется автоматически;
- instanceType. Текущий атрибут указывает экземпляр объекта пользователя, который будет использоваться в качестве шаблона для нового объекта пользователя;
- objectCategory. Данный атрибут определяет категорию схемы Active Directory. Например, CN=Person,CN=Schema,CN=Configuration,DC=BIOPHARMACEUTIQUE,DC=COM;
- objectClass. Этот атрибут определяет класс объекта;
- objectSid. Определяет идентификатор безопасности объекта, который назначается автоматически;
- sAMAccoountName. Задает имя учетной записи SAM пользователя. Максимальная длина описания – 256 знаков. Конфигурируется данный атрибут непосредственно на основе данных, обеспечиваемых при создании учетной записи пользователя.
В этой статье вы узнаете о некоторых атрибутах, а также научитесь изменять атрибуты средствами графического интерфейса.
Изменение атрибутов на вкладках свойств учетной записи пользователя
В большинстве случаев, дополнительные свойства пользовательских учетных записей конфигурируются при помощи оснастки «Active Directory – пользователи и компьютеры». Для изменения объекта пользователя откройте диалоговое окно свойств учетной записи. В данном диалоговом окне, атрибуты объекта пользователя распределяются по нескольким обширным категориям на различных вкладках. Большинство атрибутов объекта пользователя вполне понятны. Рассмотрим шесть основных вкладок, которые в первую очередь подлежат изменениям с соответствующими атрибутами:
- Вкладка «Общие». Данная вкладка содержит свойство имени, которое настраивается при создании объекта пользователя, а также его основное описание и контактные данные. На данной вкладке вы моете отконфигурировать девять атрибутов объекта пользователя, а именно: имя пользователя (атрибут givenName), фамилию (атрибут sn), инициалы (атрибут initials), выводимое имя (атрибут displayName), описание объекта (атрибут description), номер комнаты (атрибут physicalDeliveryOfficeName), контактный номер телефона (атрибут telephoneNumber), адрес электронной почты (атрибут mail), а также адрес веб-сайта пользователя (атрибут wWWHomePage). Кроме того, на данной вкладке вы можете указать дополнительный телефонный номер, который указывается атрибутом otherTelephone. Также вы можете указать дополнительный веб-сайт, определяемый атрибутом url. Если вы добавите более двух номеров телефона или веб-сайтов, они будут записываться в последние атрибуты через точку с запятой;
- Вкладка «Адрес». На этой вкладке вы можете указать контактные сведения о месте проживания вашего сотрудника. Для редактирования доступны шесть тестовых полей и, соответственно, шесть атрибутов. Вы можете изменять следующие параметры: улицу, на которой живет ваш сотрудник (атрибут streetAddress), номер дома, который можно указать в текстовом поле «Почтовый ящик» (атрибут postOfficeBox), город, в котором живет ваш пользователь (атрибут l). Помимо этого вы можете указать область или край (атрибут st), почтовый индекс (атрибут postalCode), страна (за этот параметр отвечают три атрибута, а именно c – буквенное сокращение страны, co – название страны, countryCode – код страны);
- Вкладка «Учетная запись». Для администрирования, данная вкладка является самой важной, так как именно здесь вы можете настроить имена входа, пароль и параметры учетной записи. Здесь вы можете задать следующие атрибуты: имя входа пользователя (атрибут userPrincipalName), имя входа пользователя пред-Windows 2000 (атрибут sAMAccountName, о котором мы говорили ранее), время входа пользователя (определяется атрибутом logonHours в шестнадцатеричном формате). Также вы можете указать компьютеры, на которые пользователь может выполнять вход (атрибут userWorkstations). Если учетная запись пользователя заблокирована, то вы можете ее разблокировать, установив соответствующий флажок. Помимо этого, вы можете добавить следующие параметры учетной записи: требовать смены пароля при следующем входе в систему, запрещение смены пароля пользователем, установка неограниченного срока действия пароля и прочее. Также вы можете указать срок действия учетной записи (атрибут accountExpires);
- Вкладка «Профиль». На этой вкладке вы можете настроить путь к профилю пользователя (атрибут profilePath), сценарий входа (атрибут scripPath), а также домашнюю папку указав локальный путь (атрибут homeDirectory) или сетевой диск (атрибут homeDrive);
- Вкладка «Телефоны». Текущая вкладка предназначена для заполнения таких контактных сведений о пользователе, как номера его телефонов. На этой вкладке доступно для редактирования шесть параметров, а именно: домашний, в котором вы можете указать домашний номер телефона пользователя (атрибут homePhone), номер пейджера (атрибут pager), номер мобильного телефона (атрибут mobile). Также вы можете указать номер факса (атрибут facsimileTelephoneNumber) или номер IP-телефона (атрибут ipPhone). Помимо этого, на данной вкладке размещено текстовое поле «Заметки», сопоставленное с атрибутом info, которое используется для занесения дополнительной информации. Также вы можете добавить дополнительные номера телефонов (например, за дополнительный номер мобильного телефона отвечает атрибут otherMobile, за дополнительный номер пейджера – otherPager, за дополнительные номера домашнего телефона, факса и IP-телефона, соответственно, otherHomePhone, otherFacsimileTelephoneNuber и otherIpPhone);
- Вкладка «Организация». Эта вкладка содержит такую информацию, которая относится к должности, отделу пользователя и т.п. Для изменения на этой вкладке доступны пять следующих опций: должность данного сотрудника (атрибут title), название отдела (атрибут department), наименование организации (атрибут company). Помимо этого на данной вкладке вы можете указать непосредственного начальника для текущего пользователя (атрибут manager), а также просмотреть всех прямых подчиненных в поле «Прямые подчиненные»;
Рис. 1. Вкладка «Общие» диалогового окна свойств объекта пользователя
Рис. 2. Вкладка «Адрес» диалогового окна свойств объекта пользователя
Рис. 3. Вкладка «Учетная запись» диалогового окна свойств объекта пользователя
Рис. 4. Вкладка «Профиль» диалогового окна свойств объекта пользователя
Рис. 5. Вкладка «Телефон» диалогового окна свойств объекта пользователя
Рис. 6. Вкладка «Организация» диалогового окна свойств объекта пользователя
Просмотр и изменение атрибутов, не отображаемых в свойствах объектов пользователей
Как вы заметили, при помощи графического интерфейса, а именно диалогового окна свойств объекта пользователя оснастки «Active Directory – пользователи и компьютеры» можно отредактировать большинство атрибутов пользователя. Но некоторые атрибуты при помощи основного набора вкладок свойств пользователя у вас настроить не получится, так как они не отображены в графическом интерфейсе. У вас может возникнуть вопрос: для чего же тогда нужны такие атрибуты, которые невозможно так просто настроить? Такие атрибуты могут использоваться различными приложениями для хранения дополнительных данных о пользователях, причем, некоторые из этих параметров могут для вашей организации оказаться очень полезными. Для того чтобы просмотреть все атрибуты, которые принадлежат конкретному пользователю, вам нужно в диалоговом окне свойств текущего пользователя перейти на вкладку «Редактор атрибутов». По умолчанию данная вкладка не отображена и для того чтобы она отобразилась, вам нужно в меню «Вид» самой оснастки установить флажок на опции «Дополнительные компоненты». Редактор атрибутов отображает все системные атрибуты для текущего объекта. Помимо вкладки свойств объекта пользователя, любые атрибуты вы можете просмотреть и изменить при помощи таких инструментов, как оснастки ADSIEdit.msc и утилиты Ldp.exe. Например, если вам нужно знать, когда пользователь в последний раз выполнял вход, который не отображается на основных вкладках диалогового окна свойств пользователя. Для этого вы можете перейти на вкладку «Редактор атрибутов», найти там атрибут lastLogonTimestamp, где и будет указано последнее выполнение входа в сеть (например, если пользователь вошел в систему в 11:40:26 18 декабря 2011 года, значение будет равняться «129371388262579662»). Для того чтобы изменить выбранный вами атрибут, нажмите на кнопку «Изменить» и в отобразившемся диалоговом окне внесите изменения в выбранный вами атрибут. С помощью кнопки «Фильтр» вы можете отфильтровать вывод системных атрибутов в таком виде, как вам будет удобнее с ними работать. Вы можете просмотреть обязательные атрибуты, установив соответствующий флажок, дополнительные атрибуты, только те атрибуты, в которых указаны значения, а также атрибуты, доступные для записи. Кроме этого вы можете просматривать обратные ссылки и построенные атрибуты.
Рис. 7. Вкладка «Редактор атрибутов» диалогового окна свойств объекта пользователя
Обратными ссылками называются атрибуты, которые образуются в результате ссылок на объект из других объектов. Рассмотри простой пример: при добавлении пользователя в группу изменяется многозначный атрибут группы member, в который добавляется отличительное имя пользователя, называемое прямой ссылкой. В свою очередь, в объекте пользователя, при ссылке на пользователя атрибутом member группы, атрибут memberOf обновляется автоматически.
Построенные атрибуты формируются в результате вычисления в Active Directory. Некоторые атрибуты не хранятся как часть объекта пользователя и не поддерживаются динамически, а высчитываются только при необходимости. Например, существует атрибут tokenGroups, представляющий собой список SID всех групп, к которым принадлежит пользователь, включая вложенные группы. В этом случае, Active Directory должна просчитать действующее членство пользователя в группах, что повлечет за собой выполнение нескольких циклов. Так как для получения построенных атрибутов необходима дополнительная обработка, по умолчанию на вкладке «Редактор атрибутов» такие атрибуты не отображаются.
В том случае, если вам нужно отредактировать одинаковые атрибуты для большого количества объектов, вы можете использовать различные сценарии с использованием утилит командной строки или командлетов Windows PowerShell. Для изменения атрибутов, которые отображены на вкладках свойств объектов пользователей оснастки «Active Directory – пользователи и компьютеры» и могут быть общими для нескольких объектов одновременно, вы можете выделить объекты одного класса (например, пользователей) при помощи клавиши Ctrl, нажать на них правой кнопкой мыши и из контекстного меню выбрать опцию «Свойства». В данном случае, вы можете редактировать лишь определенные атрибуты на пяти вкладках: «Общие», «Учетная запись», «Адрес», «Профиль» и «Организация». Например, вы можете изменять те же атрибуты на вкладке «Организация» для нескольких пользователей, как и для конкретного пользователя, как показано на следующей иллюстрации:
Рис. 8. Изменение атрибутов для нескольких пользователей одновременно
Заключение
В этой статье вы узнали о возможностях настройки атрибутов для объектов учетных записей пользователей. Были рассмотрены шесть вкладок диалогового окна свойств учетной записи, которые принято модифицировать в первую очередь. Также вы познакомились с возможностями вкладки редактора атрибутов, которая по умолчанию не отображается и немного узнали о фильтрации атрибутов и об одновременном изменении нескольких атрибутов одного класса.