При работе с объектами Active Directory, иногда требуется использовать определенные значения в свойстах объекта: пользователя, компьютера или группы, котроые бы позволили дополнительно идентифицировать, группировать объекты или указывать специальные параметры (которых нет в штатных атрибутах). При этом без необходимости вносить изменения в схему Active Directory и не использовать члентво в группах. Например, 

• указать определенные параметры, для выдачи квот в third-party приложениях
• Динамическое членство в группах рассылки
• Создание детальной адресных листов, в компаниях со сложной структурой подразделений
• Специальные "пометки" для средств информационной безопасности

и другие сценарии, в которых нет возможности (или нежелательно) использовать готовые атрибуты и нехотелось бы вносить изменения в схему AD.
Для подобных случаев, в Active Directory, в которых схема была расширена для работы с Azure AD или Exchange предусмотрены 15 атрибутов расширения (extensionAttribute), пронумерованных от 1 до 15 (extensionAttribute1 - extensionAttribute15). 


Исходя из конкретных условий необходимой задачи, для определенного extensionAttribute, например, первого, администраторы договариваются, что там хранится соответствующее значение, например, размер квоты на корпоративной файловом ресурсе и изменяя значение этого атрибута, автоматически изменяется размер квоты.
Значение этих атрибутов можно просто просмотреть в консоли: Active Directory Users and Computers, на закладке Attribute Editor
(которая доступна при включении отображения Advanced Features)

Или используя PowerShell. 
например, командлет ниже, выведет текущее значение атрибута  extensionAttribute

Get-ADUser Username1 -Properties extensionAttribute1 | Select extensionAttribute1

Чтобы задать новое значение extensionAttribute, можно использовать командлет: 

Set-ADUser Username1  -Add @{extensionAttribute1 = "10"}

Чтобы задать изменить значение extensionAttribute, можно использовать командлет: 

Set-ADUser -Identity Username1 -Replace @{extensionAttribute1="15"}

Чтобы очистить значение extensionAttribute, можно использовать командлет: 

Set-ADUser –Identity Username1 -Clear extensionAttribute1

После исполнения этого командлета, значениеатрибута будет пустый ($Null)

Использование extensionAttribute расширяет возможности по использованию службы каталогов, без необходимости использования групп, а при условии гранулярной выдачи прав, не снижает уровень безопасности Active Directory.