Подключал намедни линуксовый сервис для авторизации через AD, еле нашел описание соответствий атрибутов и их полей, да и те все на английском, что не очень удобно при русскоязычной системе, потому что хрен поймешь какие параметры за что отвечают. Чтобы каждый раз не выискивать их adexplorer'ом, решил составить таблицу основных атрибутов Active Directory.
Таблица основных пользовательских атрибутов Active Directory
| Attribute \ Атрибут | Англоязычное название | Русскоязычное название | Value \ Значение |
| OU (Organizational Unit) \ Подразделение | |||
| distinguishedName | Distinguished Name | Отличительное (уникальное) имя | OU=Компания,DC=domain,DC=com |
| name | Компания | ||
| Group \ Группа | |||
| distinguishedName | Distinguished Name | Отличительное (уникальное) имя | CN=Группа,OU=Компания,DC=domain,DC=com |
| name | Группа | ||
| member | Members | Члены группы (какие пользователи входят в данную группу) | CN=Сергей Петрович Иванов,OU=Компания,DC=domain,DC=com |
| User \ Пользователь | |||
| DN | Distinguished Name | Отличительное (уникальное) имя | CN=Сергей Петрович Иванов,OU=Компания,DC=domain,DC=com |
| DC | Domain Component | Компонент(класс) доменного имени. | DC=domain,DC=com |
| OU | Organizational Unit | Подразделение | Компания |
| CN | Common Name | Общее имя | Сергей Петрович Иванов |
| givenName | First name | Имя | Сергей Петрович |
| name | Full name | Полное имя | Сергей Петрович Иванов |
| sn (SurName) | Last name | Фамилия | Иванов |
| displayName | Display Name | Выводимое имя | Сергей Петрович Иванов |
| Электронная почта | [email protected] | ||
| sAMAccountName | User logon name (pre-Windows 2000) | Имя входа пользователя (пред-Windows 2000) | IvanovSP |
| userPrincipalName | User logon name | Имя входа пользователя | [email protected] |
| memberOf | Member Of | Член групп (в какую группу входит данный пользователь) | CN=Группа,OU=Компания,DC=domain,DC=com |
Стоит отметить, что пользовательский displayName ≠ CN = Full name\Полное имя = namе, что можно видеть на последнем скрине.
Для более наглядного понимая приложу скрины:
Атрибут userAccountControl
Иногда надо понять включена или отключена учетная запись в AD. Или что еще с ней вообще происходит. За это отвечает атрибут userAccountControl, который является суммой нескольких свойств атрибутов. При этом, значение 512 является значением по умолчанию при всех снятых флагах на вкладке "Учетная запись" и каждый дополнительный параметр прибавляется к нему. Например, значения атрибута userAccountControl для наиболее распространенных случаев:
512 - Включена (Enabled)
514 (512+2) - Отключена (Disabled)
66048 (512+65536) - Включена, срок действия пароля не ограничен (Enabled, password never expires)
66050 (512+65536+2) - Отключена, срок действия пароля не ограничен (Disabled, password never expires)
Список основных значений атрибутов userAccountControl:
| HEX | DEC | Описание |
| 0x00000002 | 2 | Учетная запись отключена |
| 0x00000010 | 16 | Учетная запись заблокирована |
| 0x00000020 | 32 | Пароль не требуется |
| 0x00000040 | 64 | Запретить смену пароля пользователем |
| 0x00000080 | 128 | Хранить пароль, используя обратимое шифрование |
| 0x00000200 | 512 | Учетная запись по умолчанию. Представляет собой типичного пользователя |
| 0x00010000 | 65536 | Срок действия пароля не ограничен |
| 0x00040000 | 262144 | Для интерактивного входа в сеть нужна смарт-карта |
| 0x00400000 | 4194304 | Без предварительной проверки подлинности Kerberos |
| 0x00800000 | 8388608 | Пароль пользователя истек |
Отлично, но, не хватает атрибутов ((
На то они и основные) Каких не хватает?
Решил сделать у себя в компании внутренний портал на WordPress/
вытаскиваю атрибуты
physicalDeliveryOfficeName Комната
Использую так же:
extensionAttribute1 до 5
в них у меня : блоки , помещения, этаж.
с вашими атрибутами можно работать) остальные наковырял уже отдельно
Добрый день
скажите пожалуйста какой нибудь атрибут Active Directory, который возвращает ИД, или уникальный номер, чтобы отличить пользователи с одинаковыми именами.
Спасибо
Насколько мне известно, нет такого атрибута, который бы показывал ID пользователя. К тому же, система не позволяет создать пользователей с одинаковыми именами
Разве нельзя ориентироваться на sAMAccountName для определения уникальности ?
sAMAccountName это легаси, от которого давно пора избавиться. Тут дело в том, что система позволяет создать двух разных пользователей у которых значения sAMAccountName и userPrincipalName могут совпадать, и это просчет разработчиков. Т.е. необходимо выбирать и договариваться какое именно поле сделать уникальным. Я считаю, что введение атрибута с уникальным ID пользователя упростило бы всем жизнь и устранило неоднозначность. Т.е., отвечая на вопрос, использовать можно, но при условии, что sAMAccountName равно userPrincipalName у всех пользователей, иначе будет путаница.
ObjectSid
Или objectGUID
Статья про идентификаторы http://samag.ru/archive/article/1666
Здравствуйте, подскажите пожалуйста. Мне нужно открыть у доменного пользователя возможность использования комбинации клавиш win+r и заходить по сети в папку на ПК в сети. Какой атрибут нужно редактировать и как?
Сдается мне, что Вы не там ищите решение.
В win+r нет ни чего плохого. Ограничивайте права учетных записей при помощи встроенных средств AD. Тупо не давайте всем админский доступ, а что там пользователи запустят — все-равно, потому как привилегий не будет.
Чтобы исключить возможность заходить в сетевую шару — так же, ограничьте на нее права.
Инфы и инете валом.