在Active Directory用户和计算机中使用属性编辑器

时间:2020-01-09 10:46:10  来源:igfitidea点击:

Active Directory属性编辑器是一个内置图形工具,用于管理AD对象(用户、计算机、组)的属性。它是属性编辑器,我们可以其中查看和更改ADUC控制台中显示的对象属性中不可用的AD对象属性的值。

如果我没有弄错,Active Directory中的内置属性编辑器出现在Windows Server 2008 R2上。在前面,要编辑AD对象的隐藏属性,我们必须使用一个不那么方便的ADSI编辑工具。

ADUC中的属性编辑器

要使用AD属性编辑器,必须安装dsa.msc管理单元(ADUC-Active Directory用户和计算机)。

尝试打开AD中任何用户的属性。如我们所见,有些带有用户属性的选项卡可用。主要内容如下:

一般——创建广告账号时设置的基本用户属性(姓名、姓氏、电话号码、电子邮件地址等)。

地址

账户——账户名称(samAccountName、userPrincipalName)。在这里,我们可以指定用户可以登录的计算机列表(注销工作站),选项为:密码永不过期,用户无法更改密码、启用/禁用帐户、帐户过期日期等。

配置文件——用户档案(漫游配置文件场景)、登录脚本、主文件夹、映射网络文件夹的路径设置。

电话

组织机构——职务、部门、公司、经理姓名。

在这个窗口中,只有基本的用户属性集可用,但是AD中的用户类包含更多的属性(200+)。

要显示高级属性编辑器,请在ADUC 视图菜单中启用 高级函数选项。

然后再次打开用户属性,注意出现了单独的 属性编辑器选项卡。如果切换到它,则AD用户属性编辑器将打开。我们可以在表格表单中看到所有用户属性及其值的列表。可以单击任何属性来更改其值。例如,如果更改了部门属性的值,则会看到用户属性的“组织”选项卡中的部门名称也已更改。

在属性编辑器中,可以复制区分名称值(以以下格式:CN=Jon Brion,OU=Users,OU=California,OU=USA,DC=theitroad,DC=com-AD中唯一的对象名称),查找创建帐户的日期(创建时),等等。

AD属性编辑器底部有过滤器按钮。默认情况下,属性窗口中不显示空对象属性(选中 仅显示有值的属性选项)。如果取消选中,则用户类的所有属性将显示在编辑器控制台中。请注意 仅显示可写属性选项。如果启用此选项,则只显示我们被授予的编辑权限的属性(如果我们没有此用户属性的修改权限,则属性列表将为空)。

大多数AD属性都具有集成的值解码特性。例如:

我们可以在 lastLogonTimes坦p属性中查看域中的用户上次登录时间(如我们所见,时间通常显示在属性编辑器中,但如果单击,则会看到时间实际上存储为时间戳值);

账户状态存储在 userAccountControl属性中。我们可以看到一个更方便的视图,而不是位图。例如,0x200=(正常账户),而不是数字512;

但是,AD用户照片(ThumbNelpoot属性)不显示,并以二进制格式存储。

Active Directory搜索结果中缺少属性编辑器选项卡

AD属性编辑器的主要缺点是,如果我们使用ActiveDirectory搜索找到它,它将不会在对象属性中打开。要使用属性编辑器,必须在广告树中展开包含所需对象的OU,找到该对象并打开其属性(这非常不方便)。

我发现了一个lifehack,如果你在ADUC控制台中通过搜索找到了一个帐户,那么它可以为用户打开属性编辑器。

所以:

使用搜索找到你需要的用户;

进入用户组列表页签( 成员);

打开其中一个组(最好包含尽可能少的用户);

在组属性中,转到 成员选项卡并关闭( **!])用户属性窗口;

然后在组成员列表中单击所需的用户,此时将显示带有“属性编辑器”选项卡的“用户属性”窗口。

也可以使用Active Directory保存的查询打开属性编辑器。例如,可以使用以下查询查找用户:

(objectcategory=person)(samaccountname=*andrey*)

或者我们可以使用新的 Active Directory管理中心,在这里,用户(或者计算机)的属性编辑器选项卡甚至可以用于搜索结果(检查 扩展选项卡)。

要查看和编辑AD中用户、组或者计算机的所有属性,可以使用RSAT AD PowerShell模块中的PowerShell cmdlet,而不是属性编辑器。

要查看所有对象属性的值,请执行以下操作:

用户的:

[Get-ADUser](http://theitroad.local/get-aduser-getting-active-directory-users-data-via-powershell/) username -Properties *

计算机的:

[Get-ADComputer](http://theitroad.local/get-adcomputer-getting-active-directory-computers-info-via-powershell/) computername -Properties *

一组的:

[Get-ADGroup](http://theitroad.local/active-directory-group-management-using-powershell/) groupname -Properties *

要更改AD中的对象属性,请分别使用Set ADUser、Set ADComputer和Set ADGroup cmdlet。