В статье пойдет речь о том как скрыть неиспользуемые контейнеры в Active Directory
В оснастке Active Directory Users and Computers (ADUC), находятся контейнеры (Organization Unit, OU), в которые помещаются учетные записи пользователей, компьютеров и групп. В зависимости от размера и структуры организации количество OU может быть весьма большим.
Также оснастке ADUC присутствуют предопределенные контейнеры. Большинство из них практически не используются, однако болтаются в оснастке, загромождая место и затрудняя администрирование AD.
Вот так выглядит оснастка ADUC сразу после установки служб Active Directory. По умолчанию в ней отображаются следующие контейнеры:
• Builtin — контейнер, который содержит встроенные группы безопасности (Administrators, Backup Operators, Event Log Readers и так далее);
• Computers — контейнер для компьютеров по умолчанию;
• Domain Controllers — контейнер для контроллеров домена;
• ForeignSecurityPrincipals — контейнер, используемый для хранения идентификаторов безопасности (SID), связанных с доверенными доменами;
• Managed Service Accounts — контейнер для управляемых учетных записей служб;
• Users — контейнер для пользователей и групп по умолчанию. В нем содержатся такие важные группы, как Domain, Enterprise и Schema Admins.
На самом деле контейнеров намного больше. Чтобы увидеть их все, надо в меню View отметить опцию «Advanced Features», переключив тем самым оснастку ADUC в расширенный режим.
Так выглядит оснастка ADUC в расширенном режиме. Как видите, редко используемые (по мнению Microsoft) объекты скрыты и отображаются только в расширенном режиме. Любой контейнер в AD можно сделать скрытым, и он не будет виден в стандартном режиме.
Для этого нужно изменить атрибут showInAdvancedViewOnly, который и отвечает за видимость контейнера в AD. Начиная с Windows Server 2008 сделать это можно прямо из оснастки ADUC, работающей в расширенном режиме (при включенной Advanced Features).
Предположим мы хотим скрыть контейнер Users. Нажимаем по нему правой клавишей и в контекстном меню выбираем пункт Свойства (Properties).
Открывается окно свойств объекта. Находим в нем атрибут showInAdvancedViewOnly и смотрим на его значение. Для данного контейнера оно равно False, то есть контейнер не является скрытым. Для редактирования атрибута жмем кнопку Edit.
Изменяем значение на True и жмем ОК. Теперь контейнер будет виден только в расширенном режиме работы оснастки ADUC.
То же самое можно сделать с помощью редактора ADSI Edit. Запускаем его и подключаемся с настройками по умолчанию.
Находим нужный контейнер (напр. CN=Users), нажимаем на нем правой клавишей и выбираем «Properties».
Находим нужный атрибут и редактируем его.
Таким образом мы можем убрать из оснастки ADUC все лишнее, оставив только самые необходимые контейнеры. Вот так выглядит оснастка после «зачистки», ничего лишнего.