Основные атрибуты Active Directory
Подключал намедни линуксовый сервис для авторизации через AD, еле нашел описание соответствий атрибутов и их полей, да и те все на английском, что не очень удобно при русскоязычной системе, потому что хрен поймешь какие параметры за что отвечают. Чтобы каждый раз не выискивать их adexplorer’ом, решил составить таблицу основных атрибутов Active Directory.
Таблица основных пользовательских атрибутов Active Directory
| Attribute \ Атрибут | Англоязычное название | Русскоязычное название | Value \ Значение |
| OU (Organizational Unit) \ Подразделение | |||
| distinguishedName | Distinguished Name | Отличительное (уникальное) имя | OU=Компания,DC=domain,DC=com |
| name | Компания | ||
| Group \ Группа | |||
| distinguishedName | Distinguished Name | Отличительное (уникальное) имя | CN=Группа,OU=Компания,DC=domain,DC=com |
| name | Группа | ||
| member | Members | Члены группы (какие пользователи входят в данную группу) | CN=Сергей Петрович Иванов,OU=Компания,DC=domain,DC=com |
| User \ Пользователь | |||
| DN | Distinguished Name | Отличительное (уникальное) имя | CN=Сергей Петрович Иванов,OU=Компания,DC=domain,DC=com |
| DC | Domain Component | Компонент(класс) доменного имени. | DC=domain,DC=com |
| OU | Organizational Unit | Подразделение | Компания |
| CN | Common Name | Общее имя | Сергей Петрович Иванов |
| givenName | First name | Имя | Сергей Петрович |
| name | Full name | Полное имя | Сергей Петрович Иванов |
| sn (SurName) | Last name | Фамилия | Иванов |
| displayName | Display Name | Выводимое имя | Сергей Петрович Иванов |
| Электронная почта | mail@domain.com | ||
| sAMAccountName | User logon name (pre-Windows 2000) | Имя входа пользователя (пред-Windows 2000) | IvanovSP |
| userPrincipalName | User logon name | Имя входа пользователя | IvanovSP@domain.com |
| memberOf | Member Of | Член групп (в какую группу входит данный пользователь) | CN=Группа,OU=Компания,DC=domain,DC=com |
Для более наглядного понимая приложу скрины:
Атрибут userAccountControl
Список основных значений атрибутов userAccountControl:
Настройка атрибутов учетных записей пользователей
Введение
Любой системный администратор знает, что самыми распространенными задачами, выполняемыми в доменных службах Active Directory являются задачи, связанные с управлением принципалами безопасности, такими как учетные записи пользователей. В одной из предыдущих статей я описывал способы создания пользовательских учетных записей. Но все мы прекрасно понимаем, что создание учетной записи пользователя – это лишь первый шаг всего жизненного цикла пользователей в домене Active Directory. После создания учетной записи пользователя, вам еще нужно отконфигурировать атрибуты объекта пользователя в зависимости от требований вашей организации, а также, возможно, настроить определенные свойства учетной записи. Насколько вы знаете, при создании пользовательской учетной записи средствами графического интерфейса, а именно, при помощи оснастки «Active Directory – пользователи и компьютеры», вы заполняете такие атрибуты объекта пользователя, как имя пользователя, фамилию, имя входа, а также пароль. При создании объекта одни атрибуты являются обязательными, а другие – опциональными. Объект пользователя может содержать свыше 250 атрибутов, как созданных операционной системой, так и созданных системным администратором. Из всех атрибутов объектов учетных записей пользователей, существуют всего шесть обязательных атрибутов:
В этой статье вы узнаете о некоторых атрибутах, а также научитесь изменять атрибуты средствами графического интерфейса.
Изменение атрибутов на вкладках свойств учетной записи пользователя
В большинстве случаев, дополнительные свойства пользовательских учетных записей конфигурируются при помощи оснастки «Active Directory – пользователи и компьютеры». Для изменения объекта пользователя откройте диалоговое окно свойств учетной записи. В данном диалоговом окне, атрибуты объекта пользователя распределяются по нескольким обширным категориям на различных вкладках. Большинство атрибутов объекта пользователя вполне понятны. Рассмотрим шесть основных вкладок, которые в первую очередь подлежат изменениям с соответствующими атрибутами:
Рис. 1. Вкладка «Общие» диалогового окна свойств объекта пользователя
Рис. 2. Вкладка «Адрес» диалогового окна свойств объекта пользователя
Рис. 3. Вкладка «Учетная запись» диалогового окна свойств объекта пользователя
Рис. 4. Вкладка «Профиль» диалогового окна свойств объекта пользователя
Рис. 5. Вкладка «Телефон» диалогового окна свойств объекта пользователя
Рис. 6. Вкладка «Организация» диалогового окна свойств объекта пользователя
Просмотр и изменение атрибутов, не отображаемых в свойствах объектов пользователей
Как вы заметили, при помощи графического интерфейса, а именно диалогового окна свойств объекта пользователя оснастки «Active Directory – пользователи и компьютеры» можно отредактировать большинство атрибутов пользователя. Но некоторые атрибуты при помощи основного набора вкладок свойств пользователя у вас настроить не получится, так как они не отображены в графическом интерфейсе. У вас может возникнуть вопрос: для чего же тогда нужны такие атрибуты, которые невозможно так просто настроить? Такие атрибуты могут использоваться различными приложениями для хранения дополнительных данных о пользователях, причем, некоторые из этих параметров могут для вашей организации оказаться очень полезными. Для того чтобы просмотреть все атрибуты, которые принадлежат конкретному пользователю, вам нужно в диалоговом окне свойств текущего пользователя перейти на вкладку «Редактор атрибутов». По умолчанию данная вкладка не отображена и для того чтобы она отобразилась, вам нужно в меню «Вид» самой оснастки установить флажок на опции «Дополнительные компоненты». Редактор атрибутов отображает все системные атрибуты для текущего объекта. Помимо вкладки свойств объекта пользователя, любые атрибуты вы можете просмотреть и изменить при помощи таких инструментов, как оснастки ADSIEdit.msc и утилиты Ldp.exe. Например, если вам нужно знать, когда пользователь в последний раз выполнял вход, который не отображается на основных вкладках диалогового окна свойств пользователя. Для этого вы можете перейти на вкладку «Редактор атрибутов», найти там атрибут lastLogonTimestamp, где и будет указано последнее выполнение входа в сеть (например, если пользователь вошел в систему в 11:40:26 18 декабря 2011 года, значение будет равняться «129371388262579662»). Для того чтобы изменить выбранный вами атрибут, нажмите на кнопку «Изменить» и в отобразившемся диалоговом окне внесите изменения в выбранный вами атрибут. С помощью кнопки «Фильтр» вы можете отфильтровать вывод системных атрибутов в таком виде, как вам будет удобнее с ними работать. Вы можете просмотреть обязательные атрибуты, установив соответствующий флажок, дополнительные атрибуты, только те атрибуты, в которых указаны значения, а также атрибуты, доступные для записи. Кроме этого вы можете просматривать обратные ссылки и построенные атрибуты.
Рис. 7. Вкладка «Редактор атрибутов» диалогового окна свойств объекта пользователя
Обратными ссылками называются атрибуты, которые образуются в результате ссылок на объект из других объектов. Рассмотри простой пример: при добавлении пользователя в группу изменяется многозначный атрибут группы member, в который добавляется отличительное имя пользователя, называемое прямой ссылкой. В свою очередь, в объекте пользователя, при ссылке на пользователя атрибутом member группы, атрибут memberOf обновляется автоматически.
Построенные атрибуты формируются в результате вычисления в Active Directory. Некоторые атрибуты не хранятся как часть объекта пользователя и не поддерживаются динамически, а высчитываются только при необходимости. Например, существует атрибут tokenGroups, представляющий собой список SID всех групп, к которым принадлежит пользователь, включая вложенные группы. В этом случае, Active Directory должна просчитать действующее членство пользователя в группах, что повлечет за собой выполнение нескольких циклов. Так как для получения построенных атрибутов необходима дополнительная обработка, по умолчанию на вкладке «Редактор атрибутов» такие атрибуты не отображаются.
В том случае, если вам нужно отредактировать одинаковые атрибуты для большого количества объектов, вы можете использовать различные сценарии с использованием утилит командной строки или командлетов Windows PowerShell. Для изменения атрибутов, которые отображены на вкладках свойств объектов пользователей оснастки «Active Directory – пользователи и компьютеры» и могут быть общими для нескольких объектов одновременно, вы можете выделить объекты одного класса (например, пользователей) при помощи клавиши Ctrl, нажать на них правой кнопкой мыши и из контекстного меню выбрать опцию «Свойства». В данном случае, вы можете редактировать лишь определенные атрибуты на пяти вкладках: «Общие», «Учетная запись», «Адрес», «Профиль» и «Организация». Например, вы можете изменять те же атрибуты на вкладке «Организация» для нескольких пользователей, как и для конкретного пользователя, как показано на следующей иллюстрации:
Рис. 8. Изменение атрибутов для нескольких пользователей одновременно
Заключение
В этой статье вы узнали о возможностях настройки атрибутов для объектов учетных записей пользователей. Были рассмотрены шесть вкладок диалогового окна свойств учетной записи, которые принято модифицировать в первую очередь. Также вы познакомились с возможностями вкладки редактора атрибутов, которая по умолчанию не отображается и немного узнали о фильтрации атрибутов и об одновременном изменении нескольких атрибутов одного класса.
Как пишется атрибут displayname в active directory
В любой серьезной ИТ-инфраструктуре и проектах, связанных с её созданием и модернизацией, присутствуют соглашения об именовании объектов. Однако, собранных в одном месте лучших практик по этой теме я не нашел ни в русских интернетах, ни в заграничных. В этой статье я попытаюсь восполнить сей пробел и изложу своё видение и подход к проектированию схем именования: учетных записей пользователей и групп, компьютеров, сетевых устройств и других объектов в Active Directory.
Предложенные варианты схем основаны на личном проектном опыте и в результате анализа достоинств и недостатков в ИТ-инфраструктурах, которые приходилось встречать. Я приведу аргументы практически для каждого решения, принятого при проектировании предлагаемых ниже схем. Буду рад увидеть альтернативные мнения в комментариях.
Поиск по неполным данным
Одной из замечательных возможностей AD является поиск по неполным данным. Прелесть его в том, что для выбора нужного нам объекта (пользователя, компьютера, группы) можно просто ввести несколько начальных символов из его имени. Если подходящих объектов будет найдено несколько, предоставят возможность выбрать тот объект, который нужен. Поиск по неполным данным может очень сильно облегчить выполнение регулярных задач по администрированию AD. Если атрибуты AD заполнены удобным, стандартизированным и структурированным образом. Приведенные в этой статье рекомендации по именованию объектов учитывают особенности неполного поиска в AD таким образом, чтобы пользу от него можно было использовать в большинстве случаев.
Учетные записи пользователей
Логины
В среде AD в качестве логина могут использоваться 2 формата:
Примечание
При создании схемы именования учетных записей пользователей разумно в первую очередь учитывать следующие критерии:
Всем вышеперечисленным требованиям удовлетворяет следующая схема:
По последнему пункту могут быть споры, и я хочу обосновать свою точку зрения. Популярны два подхода именования учеток:
Некоторых мазохистов может привлекать обезличенный способ именования логинов своей стандартностью и предсказуемостью. В логине вида mza-t90361 можно закодировать массу информации, однако пользы от этого не будет никому, а неудобств доставит массу:
Итак, надеюсь, я показал, почему считаю обезличенную схему именования учёток пользователей неудачной. Далее я приведу свой ход рассуждений по созданию более удачной, «личной» схемы именования.
При формировании логина на основании имени и фамилии пользователя тоже возникают трудности. Ныне популярна такая схема именования:
Согласен, выглядит красиво, однако, возникнут проблемы:
Выход — сокращать логин, например, так:
Выше показаны несчастные случаи, когда сочетание буквы имени и фамилии дает результат, который вряд ли понравится владельцу логина, и объяснения про унификацию логинов вряд ли станут утешением.
Возможный выход из ситуации — как-то разделять фрагменты имени и фамилии, например, точкой:
Этот вариант мне очень нравится, но все же имеет следующие недостатки:
На основе приведенных выше размышлений, я предлагаю следующую схему, которая меня полностью устраивает:
[Алексей Волков → alvol, Фёдор Бондарчук → fbond, Феликс Бунин → felixb]
Прелесть схемы в том, что части имени и фамилии выбираются так, чтобы:
Я был очень приятно удивлен, когда узнал, что логины в компании Microsoft формируются именно по такой схеме.
Служебные логины
Общепризнанной лучшей практикой является использование отдельных учетных записей для выполнения административных задач. При выполнении этой рекомендации часто можно встретить такую крайность:
Печальность ситуации в том, что при коллективном использовании «ролевой» учетки личность реального пользователя установить затруднительно. Не трудно представить ситуации саботажа, разглашения паролей и прочих неприятностей, в которых виноватого не найти.
Чтобы избежать этого, но следовать практике отдельных учеток для выполнения административных задач, я предлагаю следующее:
Display Name
Значение атрибута displayName учетной записи отображается в заголовке меню Пуск вошедшего в систему пользователя, в контактах адресной книги Exchange, в поле От исходящих почтовых сообщений и во многих других местах, где требуется отобразить «дружественное» имя.
При создании пользователя в Active Directory предлагается заполнить поля имени, инициалов и фамилии. На основе этих данных предлагается значение атрибута Display Name по следующей схеме:
Примечание
Для Display Name можно задать произвольное значение, что удобно:
Full Name
Стоит обратить внимания на следующие особенности:
Группы
На имена групп нет таких строгих ограничений, как на логины, но есть смысл придерживаться схожих правил:
В дополнение к вышеперечисленному, удобно, чтобы имена групп соответствовали следующим характеристикам:
При этом, включать в имя группы признак её области действия (локальная, глобальная, универсальная) нет необходимости по следующим причинам:
Итак, я предлагаю следующую схему именования групп:
Примечание
Назначение группы определяется ролевой моделью привилегий (также известной как UGLP), в которой:
Сетевые устройства
При проектировании схем именования сетевых устройств некоторые товарищи чрезмерно увлекаются кодированием, стандартизацией. На практике получается, что на все случаи жизни удобный код придумать невозможно, зато очень легко усложнить дальнейшую жизнь излишней генерализацией и тавтологией.
Примеры неудачных имен с попыткой их расшифровать и комментариями:
Для сетевых устройств (компьютеров, принтеров, роутеров, мобильников…) я предлагаю гибкую схему именования, которая основана на следующих правилах:
Примеры имен, образованных по такой схеме:
Организационные подразделения
Существующих несколько моделей построения структуры OU и делегирования. Здесь я не буду пытаться описать их все, это хорошо сделано в более серьёзной литературе.
Из всех популярных моделей я рекомендую использовать административную модель построения OU, которая призвана обеспечить наибольшее удобство для, как можно догадаться, задач администрирования:
В рамках этой модели не нужно пытаться повторить организационную структуру предприятия, так как эта структура может быть:
Я предлагаю строить структуру OU по следующей концепции:
При этом придерживаться следующих технических особенностей:
Пример структуры OU, который следует вышеизложенным рекомендациям:
Другие объекты
К остальные объектам, требующим внимательного назначения имен, таким как: сайты, объекты групповых политик и т. п. тоже применимы большинство рекомендаций, описанных в этой статье. Вкратце:
Настройка атрибутов учетных записей пользователей
Введение
Любой системный администратор знает, что самыми распространенными задачами, выполняемыми в доменных службах Active Directory являются задачи, связанные с управлением принципалами безопасности, такими как учетные записи пользователей. В одной из предыдущих статей я описывал способы создания пользовательских учетных записей. Но все мы прекрасно понимаем, что создание учетной записи пользователя – это лишь первый шаг всего жизненного цикла пользователей в домене Active Directory. После создания учетной записи пользователя, вам еще нужно отконфигурировать атрибуты объекта пользователя в зависимости от требований вашей организации, а также, возможно, настроить определенные свойства учетной записи. Насколько вы знаете, при создании пользовательской учетной записи средствами графического интерфейса, а именно, при помощи оснастки «Active Directory – пользователи и компьютеры», вы заполняете такие атрибуты объекта пользователя, как имя пользователя, фамилию, имя входа, а также пароль. При создании объекта одни атрибуты являются обязательными, а другие – опциональными. Объект пользователя может содержать свыше 250 атрибутов, как созданных операционной системой, так и созданных системным администратором. Из всех атрибутов объектов учетных записей пользователей, существуют всего шесть обязательных атрибутов:
В этой статье вы узнаете о некоторых атрибутах, а также научитесь изменять атрибуты средствами графического интерфейса.
Изменение атрибутов на вкладках свойств учетной записи пользователя
В большинстве случаев, дополнительные свойства пользовательских учетных записей конфигурируются при помощи оснастки «Active Directory – пользователи и компьютеры». Для изменения объекта пользователя откройте диалоговое окно свойств учетной записи. В данном диалоговом окне, атрибуты объекта пользователя распределяются по нескольким обширным категориям на различных вкладках. Большинство атрибутов объекта пользователя вполне понятны. Рассмотрим шесть основных вкладок, которые в первую очередь подлежат изменениям с соответствующими атрибутами:
Рис. 1. Вкладка «Общие» диалогового окна свойств объекта пользователя
Рис. 2. Вкладка «Адрес» диалогового окна свойств объекта пользователя
Рис. 3. Вкладка «Учетная запись» диалогового окна свойств объекта пользователя
Рис. 4. Вкладка «Профиль» диалогового окна свойств объекта пользователя
Рис. 5. Вкладка «Телефон» диалогового окна свойств объекта пользователя
Рис. 6. Вкладка «Организация» диалогового окна свойств объекта пользователя
Просмотр и изменение атрибутов, не отображаемых в свойствах объектов пользователей
Как вы заметили, при помощи графического интерфейса, а именно диалогового окна свойств объекта пользователя оснастки «Active Directory – пользователи и компьютеры» можно отредактировать большинство атрибутов пользователя. Но некоторые атрибуты при помощи основного набора вкладок свойств пользователя у вас настроить не получится, так как они не отображены в графическом интерфейсе. У вас может возникнуть вопрос: для чего же тогда нужны такие атрибуты, которые невозможно так просто настроить? Такие атрибуты могут использоваться различными приложениями для хранения дополнительных данных о пользователях, причем, некоторые из этих параметров могут для вашей организации оказаться очень полезными. Для того чтобы просмотреть все атрибуты, которые принадлежат конкретному пользователю, вам нужно в диалоговом окне свойств текущего пользователя перейти на вкладку «Редактор атрибутов». По умолчанию данная вкладка не отображена и для того чтобы она отобразилась, вам нужно в меню «Вид» самой оснастки установить флажок на опции «Дополнительные компоненты». Редактор атрибутов отображает все системные атрибуты для текущего объекта. Помимо вкладки свойств объекта пользователя, любые атрибуты вы можете просмотреть и изменить при помощи таких инструментов, как оснастки ADSIEdit.msc и утилиты Ldp.exe. Например, если вам нужно знать, когда пользователь в последний раз выполнял вход, который не отображается на основных вкладках диалогового окна свойств пользователя. Для этого вы можете перейти на вкладку «Редактор атрибутов», найти там атрибут lastLogonTimestamp, где и будет указано последнее выполнение входа в сеть (например, если пользователь вошел в систему в 11:40:26 18 декабря 2011 года, значение будет равняться «129371388262579662»). Для того чтобы изменить выбранный вами атрибут, нажмите на кнопку «Изменить» и в отобразившемся диалоговом окне внесите изменения в выбранный вами атрибут. С помощью кнопки «Фильтр» вы можете отфильтровать вывод системных атрибутов в таком виде, как вам будет удобнее с ними работать. Вы можете просмотреть обязательные атрибуты, установив соответствующий флажок, дополнительные атрибуты, только те атрибуты, в которых указаны значения, а также атрибуты, доступные для записи. Кроме этого вы можете просматривать обратные ссылки и построенные атрибуты.
Рис. 7. Вкладка «Редактор атрибутов» диалогового окна свойств объекта пользователя
Обратными ссылками называются атрибуты, которые образуются в результате ссылок на объект из других объектов. Рассмотри простой пример: при добавлении пользователя в группу изменяется многозначный атрибут группы member, в который добавляется отличительное имя пользователя, называемое прямой ссылкой. В свою очередь, в объекте пользователя, при ссылке на пользователя атрибутом member группы, атрибут memberOf обновляется автоматически.
Построенные атрибуты формируются в результате вычисления в Active Directory. Некоторые атрибуты не хранятся как часть объекта пользователя и не поддерживаются динамически, а высчитываются только при необходимости. Например, существует атрибут tokenGroups, представляющий собой список SID всех групп, к которым принадлежит пользователь, включая вложенные группы. В этом случае, Active Directory должна просчитать действующее членство пользователя в группах, что повлечет за собой выполнение нескольких циклов. Так как для получения построенных атрибутов необходима дополнительная обработка, по умолчанию на вкладке «Редактор атрибутов» такие атрибуты не отображаются.
В том случае, если вам нужно отредактировать одинаковые атрибуты для большого количества объектов, вы можете использовать различные сценарии с использованием утилит командной строки или командлетов Windows PowerShell. Для изменения атрибутов, которые отображены на вкладках свойств объектов пользователей оснастки «Active Directory – пользователи и компьютеры» и могут быть общими для нескольких объектов одновременно, вы можете выделить объекты одного класса (например, пользователей) при помощи клавиши Ctrl, нажать на них правой кнопкой мыши и из контекстного меню выбрать опцию «Свойства». В данном случае, вы можете редактировать лишь определенные атрибуты на пяти вкладках: «Общие», «Учетная запись», «Адрес», «Профиль» и «Организация». Например, вы можете изменять те же атрибуты на вкладке «Организация» для нескольких пользователей, как и для конкретного пользователя, как показано на следующей иллюстрации:
Рис. 8. Изменение атрибутов для нескольких пользователей одновременно
Заключение
В этой статье вы узнали о возможностях настройки атрибутов для объектов учетных записей пользователей. Были рассмотрены шесть вкладок диалогового окна свойств учетной записи, которые принято модифицировать в первую очередь. Также вы познакомились с возможностями вкладки редактора атрибутов, которая по умолчанию не отображается и немного узнали о фильтрации атрибутов и об одновременном изменении нескольких атрибутов одного класса.
Теперь вы знаете какие однокоренные слова подходят к слову Как пишется атрибут displayname в active directory, а так же какой у него корень, приставка, суффикс и окончание. Вы можете дополнить список однокоренных слов к слову "Как пишется атрибут displayname в active directory", предложив свой вариант в комментариях ниже, а также выразить свое несогласие проведенным с морфемным разбором.