Пользовательские атрибуты в Active Directory - определение использования / функции и возможных вариантов удаления?
Я столкнулся с сильно настроенной средой Active Directory (2003 FL), которая заставляет меня задуматься, есть ли какой-нибудь особенно простой способ выяснить, что такое функция настраиваемого атрибута, и что, если вообще что-то, "использует" этот конкретный атрибут. И затем, какие могут быть хорошие варианты для потенциального удаления пользовательских атрибутов из схемы. Помимо восстановления или с нуля. Если такая опция существует.
Например, я думаю, что могу быть совершенно уверен, что означает атрибут "isDumbass" со значением TRUE, но не так много с "IRPextCONST", содержащим значение 393684. Аналогично, я думаю, что он должен быть довольно безопасным для удалите атрибут "isDumbass", но хотели бы: а) быть уверенным и б) выяснить, что запрашивает или обновляет это значение в любом случае, потому что я подозреваю, что все, что использует этот атрибут, может быть следующим в списке вещей, которые нужно удалить. В идеале, без необходимости выполнять поиск по содержимому каждого нестандартного скрипта и по коду исходного кода, я, конечно, могу получить в свои руки.
И, наконец, кроме перестройки с нуля или авторитетного восстановления AD из несуществующих резервных копий... есть ли способ удалить заданный пользовательский атрибут? (Не пустое значение, но на самом деле удалите атрибут из схемы - некоторые люди предпочли бы, чтобы атрибуты, такие как [отредактированные], не висели рядом.) Мне удалось найти и успешно протестировать метод в Windows 2k, но кажется, что Microsoft отключила эту опцию в SP4, и рассматриваемый домен является функциональным уровнем 2003 года.
2 ответа
Что касается нахождения того, что использует атрибуты, я думаю, что ваша лучшая надежда - это довольно серьезное ведение журнала событий доступа к службе каталогов, включив его настройку в конфигурации аудита объекта групповой политики контроллеров домена, а также установив агрессивные списки контроля доступа, наследуемые по всему. домен. Бревна, вероятно, станут очень шумными.
Если это возможно, новые функции аудита служб каталогов в 2008 году могут оказать большую помощь в этом процессе; получить контроллер домена 2008, если вы можете!
Когда вы будете готовы избавиться от этих модификаций схемы - к сожалению, нет способа действительно очистить всю память от модификации схемы, но вы можете, по крайней мере, остановить ее использование и заставить ее казаться удаленной.
Вы измените объект атрибута в схеме, чтобы иметь isDefunct ценность TRUE; это можно сделать с помощью ADSIEdit или оснастки схемы Active Directory. См. Раздел "Удаление информации из схемы" этой документации для получения дополнительной информации.
Если вы не уверены на 100%, что атрибут не используется, можно попытаться сделать его более несуществующим; Вы можете отменить изменение, установив isDefunct вернуться к FALSE (старые значения все еще будут там, когда он будет активирован). Определенно, если возможно, сначала идите по пути одитинга, но вариант есть.
Нет, атрибуты схемы AD следует считать постоянными.
Если вы хотите, чтобы атрибут не отображался на вкладке "Редактор атрибутов" или в других диалоговых окнах, где объект может представлять список возможных атрибутов, вы можете попробовать отредактировать объект класса "Пользователь" в MMC схемы AD и удалить атрибут из список необязательных атрибутов. Вам нужно будет щелкнуть правой кнопкой мыши корень схемы и выбрать "Перезагрузить схему", чтобы она вступила в силу, или подождать пять минут, пока контроллер домена перезагрузит схему.