Я пытаюсь найти список атрибутов пользователя Active Directory, которые я могу использовать для настройки без расширения схемы. Мы используем функциональный уровень 2008R2.
Я экспортировал список всех свойств с помощью PowerShell. Но я не знаю, как определить, какие данные пользователя я могу редактировать (например, отображаемое имя, телефон, идентификатор сотрудника) и данные AD, которые мне не следует редактировать вручную (dn, accountexpires). Я вижу некоторые очевидные из этого списка, такие как идентификатор сотрудника, extensionAttribute1-15.
Get-QADUser 'username' -IncludeAllProperties | Get-Member -MemberType Properties
Я нашел несколько веб-сайтов, на которых перечислены все атрибуты, но ни один из них не различает информацию о пользователе и данные AD.
Этот список Microsoft разделяет свойства на наборы свойств: Public-Information, User-Logon и т. д., но по-прежнему не разделяет список между информацией о пользователе и данными AD. Он также не включает идентификатор сотрудника или extensionAttribute1-15
Вопрос: существует ли этот список атрибутов пользователя Active Directory, которые я могу использовать для настройки? Спасибо
Изменить: Дополнительная информация: наши разработчики хотят прикрепить некоторую информацию ко всем учетным записям пользователей для нового приложения. Первым примером данных, которые они хотели прикрепить, был идентификатор сотрудника. Это поле уже существует в AD. Я не против расширения схемы, я просто не хочу ничего менять без надобности или дублировать уже существующие поля. Если я могу просто дать им список, там могут быть поля с подходящими именами, которые мы можем просто использовать. Если нет, то расширю схему.
Вопрос в новой редакции: какие атрибуты я могу использовать в своих целях (например, отображаемое имя, телефон, идентификатор сотрудника)? Какие атрибуты мне следует оставить в покое (dn, lastModifiedDate, accountexpires)?
Короткий ответ заключается в том, что на самом деле существует только пара атрибутов, которые предназначены для косметических метаданных в учетной записи пользователя, например description
и info
. Даже extensionAttributeX
на самом деле не предназначены для ваш настройка. Они являются частью расширений схемы Exchange и должны считаться «зарезервированными», если вы действительно используете Exchange.
Лучше спросить, почему вы пытаетесь избежать расширения схемы? В этом нет ничего изначально рискованного. Если у вас есть допустимый вариант использования для добавления специальных бизнес-метаданных в конкретный класс, придумайте логическое имя атрибута и добавьте его. Возможно, убедитесь, что ваш файл ldif работает так, как вы собираетесь, на временном одноразовом DC, который вы вызываете первым. Но в конечном итоге это единственный способ гарантировать, что никто другой не наступит на него и не пострадает от него.
Если вы пытаетесь избежать этого из-за политических проблем (ваша команда не управляет AD, а команда AD не любит изменения схемы), в ваших интересах по-прежнему вести достойную борьбу и давать бизнес-обоснование изменения. (при условии, что у вас действительно есть хорошее деловое обоснование).
Если ваша потребность временная, то, возможно, просто используйте что-нибудь вроде description
или info
зная, что ваши группы управления пользователями могут случайно испортить данные. Также возможно, что некоторые плохо написанные сторонние программы могут иметь ту же идею и конфликтовать с вашей.
Вы также можете обновить свой вопрос, указав более конкретную информацию о типе данных, которые вы пытаетесь добавить. Вы можете использовать уже существующие атрибуты, предназначенные для ваших целей.
Ответ на редактирование: Как вы отметили, уже существует employeeID атрибут, который вы могли бы использовать. Также есть Количество работников атрибут тоже. Но опять же, ответ на корень вашего вопроса заключается в том, что не существует окончательного списка уже существующих записываемых атрибутов, которые не использует другое программное обеспечение. Лучший способ сделать то, что вы пытаетесь сделать, - открыть диалоговое окно свойств для пользователя в вашем домене, выбрать вкладку Атрибуты, изменить фильтр на Show only writable attributes
и прокрутите вниз в поисках того, что еще не содержит данных, которые могут соответствовать вашему определению данных. Затем введите в Google это конкретное имя атрибута, чтобы узнать, какова его предполагаемая цель, и в качестве проверки работоспособности, чтобы узнать, использует ли его что-либо, что вы используете в своей среде.
Я использую атрибут информации как настраиваемое поле. И это работает как шарм, не меняя схемы.