Заметки о Windows и других программных продуктах Microsoft...

Скрываем неиспользуемые контейнеры в Active Directory

Скрываем неиспользуемые контейнеры в Active Directory

Открыв оснастку Active Directory Users and Computers (ADUC), первое что мы видим — это контейнеры (Organization Unit, OU), в которые помещаются учетные записи пользователей, компьютеров и групп. В зависимости от размера и структуры организации количество OU может быть весьма большим.

Кроме того, в оснастке ADUC присутствуют предопределенные контейнеры. Большинство из них практически не используются, однако болтаются в оснастке, загромождая место и затрудняя администрирование AD.

Вот так выглядит оснастка ADUC сразу после установки служб Active Directory. По умолчанию в ней отображаются следующие контейнеры:

• Builtin — контейнер, который содержит встроенные группы безопасности (Administrators, Backup Operators, Event Log Readers и т.п);
• Computers — контейнер для компьютеров по умолчанию;
• Domain Controllers — контейнер для контроллеров домена;
• ForeignSecurityPrincipals — контейнер, исползуемый для хранения идентификаторов безопасности (SID), связанных с доверенными доменами;
• Managed Service Accounts — контейнер для управляемых учетных записей служб;
• Users — контейнер для пользователей и групп по умолчанию. В нем содержатся такие важные группы, как Domain, Enterprise и Schema Admins.

оснастка Active Directory Users and Computers

 

Но это далеко не все, на самом деле контейнеров намного больше. Чтобы увидеть их все, надо в меню View отметить опцию «Advanced Features», переключив тем самым оснастку ADUC в расширенный режим.

переключение оснастки ADUC в расширенный режим

 

А вот так выглядит оснастка ADUC в расширенном режиме. Как видите, редко используемые (по мнению Microsoft) объекты скрыты и отображаются только в расширенном режиме. Впрочем, любой контейнер в AD можно сделать скрытым, и он не будет виден в стандартном режиме.

оснастка ADUC в расширенном режиме

 

Для этого нужно изменить атрибут showInAdvancedViewOnly, который и отвечает за видимость контейнера в AD. Начиная с Windows Server 2008 сделать это можно прямо из оснастки ADUC, работающей в расширенном режиме (при включенной Advanced Features).

Итак, предположим мы хотим скрыть контейнер Users. Кликаем по нему правой клавишей и в контекстном меню выбираем пункт Свойства (Properties).

открываем свойства OU

 

Открывается окно свойств объекта. Находим в нем атрибут showInAdvancedViewOnly и смотрим на его значение. Для данного контейнера оно равно False, то есть контейнер не является скрытым. Для редактирования атрибута жмем кнопку Edit.

свойства OU

 

Изменяем значение на True и жмем ОК. Теперь контейнер будет виден только в расширенном режиме работы оснастки ADUC.

редактируем атрибут OU

 

То же самое можно сделать с помощью редактора ADSI Edit. Запускаем его и подключаемся с настройками по умолчанию.

оснастка ADSIEdit

 

Находим нужный контейнер (напр. CN=Users), кликаем на нем правой клавишей и выбираем «Properties».

находим OU в ADSIEdit

 

Находим нужный атрибут и редактируем его.

открываем свойства OU в ADSIEdit

 

Таким образом мы можем убрать из оснастки ADUC все лишнее, оставив только самые необходимые контейнеры. Вот так выглядит оснастка после «зачистки», ничего лишнего.

оснастка ADUC после редактирования

 
 
Комментарии

Пока нет комментариев.