Использование extensionAttribute в Active Directory
При работе с объектами Active Directory, иногда требуется использовать определенные значения в свойстах объекта: пользователя, компьютера или группы, котроые бы позволили дополнительно идентифицировать, группировать объекты или указывать специальные параметры (которых нет в штатных атрибутах). При этом без необходимости вносить изменения в схему Active Directory и не использовать члентво в группах. Например,
Для подобных случаев, в Active Directory, в которых схема была расширена для работы с Azure AD или Exchange предусмотрены 15 атрибутов расширения (extensionAttribute), пронумерованных от 1 до 15 (extensionAttribute1 - extensionAttribute15).
Исходя из конкретных условий необходимой задачи, для определенного extensionAttribute, например, первого, администраторы договариваются, что там хранится соответствующее значение, например, размер квоты на корпоративной файловом ресурсе и изменяя значение этого атрибута, автоматически изменяется размер квоты.
Значение этих атрибутов можно просто просмотреть в консоли: Active Directory Users and Computers, на закладке Attribute Editor
(которая доступна при включении отображения Advanced Features)
Или используя PowerShell.
например, командлет ниже, выведет текущее значение атрибута extensionAttribute
Чтобы задать новое значение extensionAttribute, можно использовать командлет:
Чтобы задать изменить значение extensionAttribute, можно использовать командлет:
Чтобы очистить значение extensionAttribute, можно использовать командлет:
Использование extensionAttribute расширяет возможности по использованию службы каталогов, без необходимости использования групп, а при условии гранулярной выдачи прав, не снижает уровень безопасности Active Directory.
- указать определенные параметры, для выдачи квот в third-party приложениях
- Динамическое членство в группах рассылки
- Создание детальной адресных листов, в компаниях со сложной структурой подразделений
- Специальные "пометки" для средств информационной безопасности
Для подобных случаев, в Active Directory, в которых схема была расширена для работы с Azure AD или Exchange предусмотрены 15 атрибутов расширения (extensionAttribute), пронумерованных от 1 до 15 (extensionAttribute1 - extensionAttribute15).
Без предварительного расширения схемы для Exchange или Azure AD extensionAttribute недоступны
Исходя из конкретных условий необходимой задачи, для определенного extensionAttribute, например, первого, администраторы договариваются, что там хранится соответствующее значение, например, размер квоты на корпоративной файловом ресурсе и изменяя значение этого атрибута, автоматически изменяется размер квоты.
Значение этих атрибутов можно просто просмотреть в консоли: Active Directory Users and Computers, на закладке Attribute Editor
(которая доступна при включении отображения Advanced Features)
Или используя PowerShell.
например, командлет ниже, выведет текущее значение атрибута extensionAttribute
Get-ADUser Username1 -Properties extensionAttribute1 | Select extensionAttribute1
Чтобы задать новое значение extensionAttribute, можно использовать командлет:
Set-ADUser Username1 -Add @{extensionAttribute1 = "10"}
Чтобы задать изменить значение extensionAttribute, можно использовать командлет:
Set-ADUser -Identity Username1 -Replace @{extensionAttribute1="15"}
Чтобы очистить значение extensionAttribute, можно использовать командлет:
Set-ADUser –Identity Username1 -Clear extensionAttribute1После исполнения этого командлета, значениеатрибута будет пустый ($Null)
Использование extensionAttribute расширяет возможности по использованию службы каталогов, без необходимости использования групп, а при условии гранулярной выдачи прав, не снижает уровень безопасности Active Directory.
Похожие статьи:
29 октябрь 2023, Воскресенье
Как зарегистрировать оснастку Active Directory Schema
18 май 2022, Среда
Что такое FSMO роли, их назначение и можно ли без них жить
01 сентябрь 2021, Среда
Как включить корзину Active Directory и восстановить из нее?
26 март 2019, Вторник
Как определить/повысить функциональный уровень домена/леса Active Directory?
11 июнь 2018, Понедельник
Применение WMI фильтров в групповой политике
Комментарии: