Управление Копированием Атрибутов Active Directory При Дублировании Учетных Записей Пользователей

Управление копированием атрибутов Active Directory при дублировании учетных записей пользователей

Многие компании используют дополнительные атрибуты Active Directory, которые копируются вместе с дублированием учетной записи пользователя.

Но есть много примеров, когда это неудобно.

Поэтому в этой статье я расскажу вам, как избежать такого поведения или изменить его под свои нужды.

Об авторе оригинального текста: Тим Бантрок - Администратор Active Directory в крупной компании, специализирующейся на колл-центрах.
Сертифицированный специалист MCTS, MCITP, MCSA и MCPS.

Администраторам иногда нравится копировать учетные записи пользователей из соображений удобства: дополнительные атрибуты, которые в противном случае пришлось бы настраивать вручную, будут перенесены автоматически.

Но в некоторых случаях такой подход чреват проблемами.

Например, вы используете атрибут Атрибут расширения1 как уникальный Идентификатор ящика чтобы переместить этот почтовый ящик из одной системы Microsoft Exchange в другую, расположенную в отдельном лесу AD. Если какой-либо пользователь имеет такой же идентификатор, синхронизация не состоится.

Или Exchange синхронизирует письма с чужим ящиком.

Но вы можете предотвратить копирование определенного атрибута, если отключите эту опцию.

Атрибут копируется при дублировании пользователя в Active Directory. Для этого у вас должны быть права администратора схемы (не забудьте удалить свою учетную запись из этой группы, когда закончите с настройками).

Отключить опцию копирования атрибутов Атрибут расширения1 можно сделать следующим образом:

Запустите консоль PowerShell от имени администратора.
По умолчанию оснастка схемы Active Directory не зарегистрирована в MMC. Сделаем это с помощью команды:
```
  
```
```
  
```
```
  
```
```
  
```
```
   

 regsvr32 schmmgmt.dll

   
```
Теперь добавим оснастку Active Directory Schema в MMC.

Добавление оснастки AD Schema.
В консоли выбираем папку Атрибуты , затем щелкните правой кнопкой мыши Атрибут расширения1 и выберите Характеристики .
Снимите флажок Атрибут копируется при дублировании пользователя и нажмите ОК.

Снимите флажок Атрибут копируется при дублировании пользователя.

Ищем атрибуты для копирования Определить, какие атрибуты будут скопированы, а какие нет, можно посмотреть в консоли AD Schema. Но просматривать все его параметры вручную неудобно.

Поэтому для автоматизации процесса мы используем PowerShell:

нужна команда Get-ADObject , с помощью которого можно получить объект пользователя;
все еще нужна команда Get-ADRootDSE , возвращая корневой объект каталога — возьмем из него СхемаНамингКонтекст .
Значение СхемаНамингКонтекст определяет область поиска ( База поиска ) и выглядит примерно так CN=схема,CN=конфигурация,DC=домен,DC=com .

-SearchBase $((Get-ADRootDSE).
schemaNamingContext)
и последний недостающий компонент ЛДАПфильтр .
Для начала давайте отфильтруем по объектный класс — атрибутСхема.
Фильтр будет возвращать только атрибуты схемы.

Теперь вам нужно применить фильтр по идентификатору объекта ( OID ).

OID — это числовая последовательность, формат которой определен стандартом RFC1778. Этот формат является стандартным для внутреннего представления большинства LDAP-совместимых каталогов.

Используйте следующий синтаксис: :< OID> := .

является поискФлаги ;
должно быть равно 1.2.840.113556.1.4.803 .
Идентификатор уникален в Active Directory и будет совпадать только в том случае, если атрибут имеет побитовое совпадение с указанным значением ( LDAP_MATCHING_RULE_BIT_AND ).
Последняя часть -- - должно быть равно 16, чтобы найти свойства, копируемые вместе с учетной записью пользователя.

В результате получается следующая строка:

 Get-ADObject -SearchBase $((Get-ADRootDSE).

schemaNamingContext) -LDAPFilter "(&(objectClass=attributeSchema)(searchFlags:1.2.840.113556.1.4.803:=16))"

В результате мы получим Выдающееся имя , Имя ОбъектногоКласса И ObjectGUID атрибуты, которые копируются вместе с объектом пользователя.

Поскольку этим атрибутам нужны только имена ( Имя ), добавьте в команду | %{$_.Имя}.

Get-ADObject -SearchBase $((Get-ADRootDSE).

schemaNamingContext) -LDAPFilter "(&(objectClass=attributeSchema)(searchFlags:1.2.840.113556.1.4.803:=16))" | %{$_.Name}

Управление копированием атрибутов Active Directory при дублировании учетных записей пользователей

PowerShell теперь возвращает только имена.

Если вы хотите получить атрибуты, которые Нет будет скопировано при дублировании объекта, замените (searchFlags:1.2.840.113556.1.4.803:=16) на ( ! (searchFlags:1.2.840.113556.1.4.803:=16)) :

Get-ADObject -SearchBase $((Get-ADRootDSE).

schemaNamingContext) -LDAPFilter "(&((objectClass=attributeSchema)(!(searchFlags:1.2.840.113556.1.4.803:=16))))" | %{$_.Name}

Что еще можно прочитать на волне вдохновения PowerShell: