Основные атрибуты Active Directory

Автор: Admin | 28.11.2014

Подключал намедни линуксовый сервис для авторизации через AD, еле нашел описание соответствий атрибутов и их полей, да и те все на английском, что не очень удобно при русскоязычной системе, потому что хрен поймешь какие параметры за что отвечают. Чтобы каждый раз не выискивать их adexplorer’ом, решил составить таблицу основных атрибутов Active Directory.

Таблица основных пользовательских атрибутов Active Directory

Attribute \ АтрибутАнглоязычное названиеРусскоязычное названиеValue \ Значение
OU (Organizational Unit) \ Подразделение
distinguishedName Distinguished Name Отличительное (уникальное) имяOU=Компания,DC=domain,DC=com
nameКомпания
Group \ Группа
distinguishedName Distinguished NameОтличительное (уникальное) имяCN=Группа,OU=Компания,DC=domain,DC=com
nameГруппа
memberMembersЧлены группы (какие пользователи входят в данную группу)CN=Сергей Петрович Иванов,OU=Компания,DC=domain,DC=com
User \ Пользователь
DNDistinguished NameОтличительное (уникальное) имяCN=Сергей Петрович Иванов,OU=Компания,DC=domain,DC=com
DCDomain ComponentКомпонент(класс) доменного имени.DC=domain,DC=com
OUOrganizational UnitПодразделениеКомпания
CNCommon NameОбщее имяСергей Петрович Иванов
givenNameFirst nameИмяСергей Петрович
nameFull nameПолное имяСергей Петрович Иванов
sn (SurName)Last nameФамилияИванов
displayNameDisplay NameВыводимое имяСергей Петрович Иванов
mailE-mailЭлектронная почтаmail@domain.com
sAMAccountNameUser logon name (pre-Windows 2000)Имя входа пользователя (пред-Windows 2000)IvanovSP
userPrincipalNameUser logon nameИмя входа пользователяIvanovSP@domain.com
memberOfMember OfЧлен групп (в какую группу входит данный пользователь)CN=Группа,OU=Компания,DC=domain,DC=com

Стоит отметить, что пользовательский displayName CN = Full name\Полное имя = namе, что можно видеть на последнем скрине.

Для более наглядного понимая приложу скрины:

general AD Attributes
account AD Attributes
name AD Attributes


Атрибут userAccountControl

Иногда надо понять включена или отключена учетная запись в AD. Или что еще с ней вообще происходит. За это отвечает атрибут userAccountControl, который является суммой нескольких свойств атрибутов. При этом, значение 512 является значением по умолчанию при всех снятых флагах на вкладке «Учетная запись» и каждый дополнительный параметр прибавляется к нему. Например, значения атрибута userAccountControl для наиболее распространенных случаев:
512 — Включена (Enabled)
514 (512+2) — Отключена (Disabled)
66048 (512+65536) — Включена, срок действия пароля не ограничен (Enabled, password never expires)
66050 (512+65536+2) — Отключена, срок действия пароля не ограничен (Disabled, password never expires)

Список основных значений атрибутов userAccountControl:

HEXDECОписание
0x000000022Учетная запись отключена
0x0000001016Учетная запись заблокирована
0x0000002032Пароль не требуется
0x0000004064Запретить смену пароля пользователем
0x00000080128Хранить пароль, используя обратимое шифрование
0x00000200512Учетная запись по умолчанию. Представляет собой типичного пользователя
0x0001000065536Срок действия пароля не ограничен
0x00040000262144Для интерактивного входа в сеть нужна смарт-карта
0x004000004194304Без предварительной проверки подлинности Kerberos
0x008000008388608Пароль пользователя истек

 

Подробное описание всех атрибутов

Комментарии к посту “Основные атрибуты Active Directory

  1. Woot

    Решил сделать у себя в компании внутренний портал на WordPress/
    вытаскиваю атрибуты
    physicalDeliveryOfficeName Комната
    Использую так же:
    extensionAttribute1 до 5
    в них у меня : блоки , помещения, этаж.
    с вашими атрибутами можно работать) остальные наковырял уже отдельно

  2. Владимир

    Добрый день

    скажите пожалуйста какой нибудь атрибут Active Directory, который возвращает ИД, или уникальный номер, чтобы отличить пользователи с одинаковыми именами.

    Спасибо

    1. admin Автор записи

      Насколько мне известно, нет такого атрибута, который бы показывал ID пользователя. К тому же, система не позволяет создать пользователей с одинаковыми именами

    2. Алексей

      Разве нельзя ориентироваться на sAMAccountName для определения уникальности ?

      1. admin Автор записи

        sAMAccountName это легаси, от которого давно пора избавиться. Тут дело в том, что система позволяет создать двух разных пользователей у которых значения sAMAccountName и userPrincipalName могут совпадать, и это просчет разработчиков. Т.е. необходимо выбирать и договариваться какое именно поле сделать уникальным. Я считаю, что введение атрибута с уникальным ID пользователя упростило бы всем жизнь и устранило неоднозначность. Т.е., отвечая на вопрос, использовать можно, но при условии, что sAMAccountName равно userPrincipalName у всех пользователей, иначе будет путаница.

  3. Игорь

    Здравствуйте, подскажите пожалуйста. Мне нужно открыть у доменного пользователя возможность использования комбинации клавиш win+r и заходить по сети в папку на ПК в сети. Какой атрибут нужно редактировать и как?

    1. admin Автор записи

      Сдается мне, что Вы не там ищите решение.
      В win+r нет ни чего плохого. Ограничивайте права учетных записей при помощи встроенных средств AD. Тупо не давайте всем админский доступ, а что там пользователи запустят — все-равно, потому как привилегий не будет.
      Чтобы исключить возможность заходить в сетевую шару — так же, ограничьте на нее права.
      Инфы и инете валом.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *