Как скрыть неиспользуемые контейнеры в Active Directory

В статье пойдет речь о том как скрыть неиспользуемые контейнеры в Active Directory

В оснастке Active Directory Users and Computers (ADUC), находятся контейнеры (Organization Unit, OU), в которые помещаются учетные записи пользователей, компьютеров и групп. В зависимости от размера и структуры организации количество OU может быть весьма большим.

Также оснастке ADUC присутствуют предопределенные контейнеры. Большинство из них практически не используются, однако болтаются в оснастке, загромождая место и затрудняя администрирование AD.

Вот так выглядит оснастка ADUC сразу после установки служб Active Directory. По умолчанию в ней отображаются следующие контейнеры:

  • • Builtin — контейнер, который содержит встроенные группы безопасности (Administrators, Backup Operators, Event Log Readers и так далее);
  • • Computers — контейнер для компьютеров по умолчанию;
  • • Domain Controllers — контейнер для контроллеров домена;
  • • ForeignSecurityPrincipals — контейнер, используемый для хранения идентификаторов безопасности (SID), связанных с доверенными доменами;
  • • Managed Service Accounts — контейнер для управляемых учетных записей служб;
  • • Users — контейнер для пользователей и групп по умолчанию. В нем содержатся такие важные группы, как Domain, Enterprise и Schema Admins.Active Directory Users and Computers (ADUC)

На самом деле контейнеров намного больше. Чтобы увидеть их все, надо в меню View отметить опцию «Advanced Features», переключив тем самым оснастку ADUC в расширенный режим.Advanced Features

Так выглядит оснастка ADUC в расширенном режиме. Как видите, редко используемые (по мнению Microsoft) объекты скрыты и отображаются только в расширенном режиме. Любой контейнер в AD можно сделать скрытым, и он не будет виден в стандартном режиме.ADUC в расширенном режиме

Для этого нужно изменить атрибут showInAdvancedViewOnly, который и отвечает за видимость контейнера в AD. Начиная с Windows Server 2008 сделать это можно прямо из оснастки ADUC, работающей в расширенном режиме (при включенной Advanced Features).

Предположим мы хотим скрыть контейнер Users. Нажимаем по нему правой клавишей и в контекстном меню выбираем пункт Свойства (Properties).Свойства (Properties)

Открывается окно свойств объекта. Находим в нем атрибут showInAdvancedViewOnly и смотрим на его значение. Для данного контейнера оно равно False, то есть контейнер не является скрытым. Для редактирования атрибута жмем кнопку Edit.showInAdvancedViewOnly

Изменяем значение на True и жмем ОК. Теперь контейнер будет виден только в расширенном режиме работы оснастки ADUC.Изменяем значение на True

То же самое можно сделать с помощью редактора ADSI Edit. Запускаем его и подключаемся с настройками по умолчанию. ADSI Edit

Находим нужный контейнер (напр. CN=Users), нажимаемНаходим нужный контейнер на нем правой клавишей и выбираем «Properties».

Находим нужный атрибут и редактируем его.Находим нужный атрибут

Таким образом мы можем убрать из оснастки ADUC все лишнее, оставив только самые необходимые контейнеры. Вот так выглядит оснастка после «зачистки», ничего лишнего.

 

оснастка после «зачистки»