Заметки о Windows и других программных продуктах Microsoft...

Скрываем неиспользуемые контейнеры в Active Directory

Скрываем неиспользуемые контейнеры в Active Directory

Открыв оснастку Active Directory Users and Computers (ADUC), первое что мы видим — это контейнеры (Organization Unit, OU), в которые помещаются учетные записи пользователей, компьютеров и групп. В зависимости от размера и структуры организации количество OU может быть весьма большим.

Кроме того, в оснастке ADUC присутствуют предопределенные контейнеры. Большинство из них практически не используются, однако болтаются в оснастке, загромождая место и затрудняя администрирование AD.

Вот так выглядит оснастка ADUC сразу после установки служб Active Directory. По умолчанию в ней отображаются следующие контейнеры:

• Builtin — контейнер, который содержит встроенные группы безопасности (Administrators, Backup Operators, Event Log Readers и т.п);
• Computers — контейнер для компьютеров по умолчанию;
• Domain Controllers — контейнер для контроллеров домена;
• ForeignSecurityPrincipals — контейнер, исползуемый для хранения идентификаторов безопасности (SID), связанных с доверенными доменами;
• Managed Service Accounts — контейнер для управляемых учетных записей служб;
• Users — контейнер для пользователей и групп по умолчанию. В нем содержатся такие важные группы, как Domain, Enterprise и Schema Admins.

оснастка Active Directory Users and Computers

 

Но это далеко не все, на самом деле контейнеров намного больше. Чтобы увидеть их все, надо в меню View отметить опцию «Advanced Features», переключив тем самым оснастку ADUC в расширенный режим.

переключение оснастки ADUC в расширенный режим

 

А вот так выглядит оснастка ADUC в расширенном режиме. Как видите, редко используемые (по мнению Microsoft) объекты скрыты и отображаются только в расширенном режиме. Впрочем, любой контейнер в AD можно сделать скрытым, и он не будет виден в стандартном режиме.

оснастка ADUC в расширенном режиме

 

Для этого нужно изменить атрибут showInAdvancedViewOnly, который и отвечает за видимость контейнера в AD. Начиная с Windows Server 2008 сделать это можно прямо из оснастки ADUC, работающей в расширенном режиме (при включенной Advanced Features).

Итак, предположим мы хотим скрыть контейнер Users. Кликаем по нему правой клавишей и в контекстном меню выбираем пункт Свойства (Properties).

открываем свойства OU

 

Открывается окно свойств объекта. Находим в нем атрибут showInAdvancedViewOnly и смотрим на его значение. Для данного контейнера оно равно False, то есть контейнер не является скрытым. Для редактирования атрибута жмем кнопку Edit.

свойства OU

 

Изменяем значение на True и жмем ОК. Теперь контейнер будет виден только в расширенном режиме работы оснастки ADUC.

редактируем атрибут OU

 

То же самое можно сделать с помощью редактора ADSI Edit. Запускаем его и подключаемся с настройками по умолчанию.

оснастка ADSIEdit

 

Находим нужный контейнер (напр. CN=Users), кликаем на нем правой клавишей и выбираем «Properties».

находим OU в ADSIEdit

 

Находим нужный атрибут и редактируем его.

открываем свойства OU в ADSIEdit

 

Таким образом мы можем убрать из оснастки ADUC все лишнее, оставив только самые необходимые контейнеры. Вот так выглядит оснастка после «зачистки», ничего лишнего.

оснастка ADUC после редактирования

 
 
Комментарии

я бы сказал что так больше для удобства чем для безопасности.

Leave a Reply to Eugene