Uso del editor de atributos en usuarios y equipos de Active Directory

El Editor de atributos de Active Directory es una herramienta gráfica incorporada para administrar las propiedades de los objetos de AD (usuarios, computadoras, grupos). Es el editor de atributos donde puede ver y cambiar los valores de los atributos del objeto AD que no están disponibles en las propiedades del objeto que se muestran en la consola ADUC.

Si no me equivoco, el Editor de atributos integrado en Active Directory apareció en Windows Server 2008 R2. Anteriormente, para editar las propiedades ocultas de los objetos AD, tenía que usar una herramienta de edición ADSI menos conveniente.

Editor de atributos en ADUC

Para utilizar el editor de atributos de AD, debe instalar el complemento dsa.msc (ADUC – Usuarios y equipos de Active Directory).

Intente abrir las propiedades de cualquier usuario en AD. Como puede ver, están disponibles algunas pestañas con los atributos de usuario. Estos son los principales:

• General – las propiedades básicas del usuario que se establecen cuando se crea una cuenta AD (nombre, apellido, número de teléfono, dirección de correo electrónico, etc.).
• Habla a
• Cuenta – el nombre de la cuenta (samAccountName, userPrincipalName). Aquí puede especificar la lista de computadoras en las que un usuario puede iniciar sesión (LogonWorkstations), las opciones son: la contraseña nunca caduca, el usuario no puede cambiar la contraseña, la cuenta habilitada / deshabilitada, la fecha de vencimiento de la cuenta, etc.
• Perfil – puede establecer una ruta a un perfil de usuario (en el caso de perfiles móviles), un script de inicio de sesión, una carpeta de inicio, una carpeta de red asignada.
• Telefonos
• Organización – cargo, departamento, empresa, nombre del gerente.

Solo el conjunto básico de propiedades de usuario está disponible para usted en esta ventana, pero la clase de usuario en AD contiene muchos más atributos (más de 200).

Para mostrar el editor de atributos avanzado, habilite la opción Características avanzadas en la ADUC Vista menú.

Luego, abra las propiedades del usuario nuevamente y tenga en cuenta que una Editor de atributos Ha aparecido la pestaña. Si lo cambia, se abrirá el editor de atributos de usuario de AD. Puede ver la lista de todos los atributos de usuario y sus valores en el formulario de tabla. Puede hacer clic en cualquier atributo para cambiar su valor. Por ejemplo, si cambia el valor del atributo del departamento, verá que el nombre del departamento en la pestaña Organización de las propiedades del usuario también ha cambiado.

En el Editor de atributos, puede copiar el valor de nombre distinguido (en este formato: CN = Jon Brion, OU = Users, OU = California, OU = USA, DC = woshub, DC = com – un nombre de objeto único en AD), busque la fecha en que se creó la cuenta (cuando se creó), etc.

Existe el botón Filtro en la parte inferior del Editor de atributos de AD. Por defecto, los atributos de objetos vacíos no se muestran en la ventana de atributos (el Mostrar solo atributos que tengan valores la opción está marcada). Si la desmarca, todos los atributos de la clase Usuario se mostrarán en la consola del editor. Tenga en cuenta el Mostrar solo atributos modificables opción. Si lo habilita, solo se mostrarán los atributos en los que tiene delegados los permisos de edición (si no tiene los permisos de modificación en los atributos de este usuario, la lista de atributos estará vacía).

La mayoría de los atributos de AD tienen la función de decodificación de valor integrada. Por ejemplo:

• Puede ver la última hora de inicio de sesión del usuario en un dominio en la lastLogonTimestamp atributo (como puede ver, el tiempo se muestra normalmente en el Editor de atributos, pero si hace clic en él, verá que, de hecho, el tiempo se almacena como valor de marca de tiempo);
  
• El estado de la cuenta se almacena en el control de cuentas del usuario atributo. Verá una vista más conveniente en lugar de una máscara de bits. Por ejemplo, 0x200 = (NORMAL_ACCOUNT) en lugar del número 512;
  
• Sin embargo, una foto de usuario de AD (atributo thumbnailPhoto) no se muestra y se almacena en formato binario.

Falta la pestaña del editor de atributos en los resultados de búsqueda de Active Directory

La principal desventaja del Editor de atributos de AD es que no se abrirá en las propiedades del objeto si lo ha encontrado mediante la búsqueda de Active Directory. Para usar el Editor de Atributos, debe expandir la OU que contiene el objeto que necesita en el árbol de AD, encontrar el objeto y abrir sus propiedades (es muy inconveniente).

Encontré un truco de vida que permite abrir el Editor de atributos para el usuario si encontró una cuenta a través de una búsqueda en la consola ADUC.

Entonces:

1. Utilice la búsqueda para encontrar el usuario que necesita;
2. Vaya a la pestaña con la lista de grupos de usuarios (Miembro de);
3. Abra uno de los grupos (es mejor que contenga la menor cantidad de usuarios posible);
4. En las propiedades del grupo, vaya a la Miembros pestaña y cerrar (!) la ventana de propiedades del usuario;
   
5. Luego haga clic en el usuario que necesita en la lista de miembros del grupo y aparecerá la ventana de propiedades del usuario con la pestaña Editor de atributos.
   

También puede abrir el Editor de atributos utilizando las consultas guardadas de Active Directory. Por ejemplo, puede utilizar la siguiente consulta para encontrar un usuario: (objectcategory=person)(samaccountname=*andrey*)

O puedes usar el nuevo Centro administrativo de Active Directory donde la pestaña Editor de atributos de un usuario (o una computadora) está disponible incluso para los resultados de la búsqueda (marque la Extensión pestaña).

Para ver y editar todos los atributos de usuarios, grupos o equipos en AD, puede usar los cmdlets de PowerShell del módulo RSAT-AD-PowerShell en lugar del Editor de atributos.

Para ver los valores de todos los atributos del objeto:

Para cambiar los atributos del objeto en AD, se utilizan los cmdlets Set-ADUser, Set-ADComputer y Set-ADGroup, respectivamente.