Открыв оснастку Active Directory Users and Computers (ADUC), первое что мы видим — это контейнеры (Organization Unit, OU), в которые помещаются учетные записи пользователей, компьютеров и групп. В зависимости от размера и структуры организации количество OU может быть весьма большим.
Кроме того, в оснастке ADUC присутствуют предопределенные контейнеры. Большинство из них практически не используются, однако болтаются в оснастке, загромождая место и затрудняя администрирование AD.
Вот так выглядит оснастка ADUC сразу после установки служб Active Directory. По умолчанию в ней отображаются следующие контейнеры:
• Builtin — контейнер, который содержит встроенные группы безопасности (Administrators, Backup Operators, Event Log Readers и т.п);
• Computers — контейнер для компьютеров по умолчанию;
• Domain Controllers — контейнер для контроллеров домена;
• ForeignSecurityPrincipals — контейнер, исползуемый для хранения идентификаторов безопасности (SID), связанных с доверенными доменами;
• Managed Service Accounts — контейнер для управляемых учетных записей служб;
• Users — контейнер для пользователей и групп по умолчанию. В нем содержатся такие важные группы, как Domain, Enterprise и Schema Admins.
Но это далеко не все, на самом деле контейнеров намного больше. Чтобы увидеть их все, надо в меню View отметить опцию «Advanced Features», переключив тем самым оснастку ADUC в расширенный режим.
А вот так выглядит оснастка ADUC в расширенном режиме. Как видите, редко используемые (по мнению Microsoft) объекты скрыты и отображаются только в расширенном режиме. Впрочем, любой контейнер в AD можно сделать скрытым, и он не будет виден в стандартном режиме.
Для этого нужно изменить атрибут showInAdvancedViewOnly, который и отвечает за видимость контейнера в AD. Начиная с Windows Server 2008 сделать это можно прямо из оснастки ADUC, работающей в расширенном режиме (при включенной Advanced Features).
Итак, предположим мы хотим скрыть контейнер Users. Кликаем по нему правой клавишей и в контекстном меню выбираем пункт Свойства (Properties).
Открывается окно свойств объекта. Находим в нем атрибут showInAdvancedViewOnly и смотрим на его значение. Для данного контейнера оно равно False, то есть контейнер не является скрытым. Для редактирования атрибута жмем кнопку Edit.
Изменяем значение на True и жмем ОК. Теперь контейнер будет виден только в расширенном режиме работы оснастки ADUC.
То же самое можно сделать с помощью редактора ADSI Edit. Запускаем его и подключаемся с настройками по умолчанию.
Находим нужный контейнер (напр. CN=Users), кликаем на нем правой клавишей и выбираем «Properties».
Находим нужный атрибут и редактируем его.
Таким образом мы можем убрать из оснастки ADUC все лишнее, оставив только самые необходимые контейнеры. Вот так выглядит оснастка после «зачистки», ничего лишнего.
я бы сказал что так больше для удобства чем для безопасности.