Назад | Перейти на главную страницу

Пользовательские атрибуты в Active Directory - определение использования / функции и возможные варианты удаления?

Я наткнулся на настраиваемую среду Active Directory (2003 FL), которая заставила меня задуматься, есть ли какой-нибудь особенно простой способ выяснить, что такое функция настраиваемого атрибута, и что, если вообще что-либо, «использует» этот конкретный атрибут. И затем, какие могут быть хорошие варианты потенциально удаления настраиваемых атрибутов из схемы. Помимо восстановления или запуска с нуля. Если такой вариант существует.

Например, я думаю, что могу быть достаточно уверенным в том, что означает атрибут isDumbass со значением TRUE, но не так много с IRPextCONST, содержащим значение 393684. Точно так же я бы считать удалить атрибут isDumbass должно быть довольно безопасно, но хотелось бы: а) быть уверенным и б) в любом случае выяснить, что запрашивает или обновляет это значение, потому что я подозреваю, что все, что использует этот атрибут, может быть следующим в списке удалять. В идеале, конечно, без необходимости выполнять поиск по содержимому каждого настраиваемого скрипта и фрагмента исходного кода, которые я могу получить в свои руки.

И, наконец, помимо восстановления с нуля или выполнения авторитетного восстановления AD из резервных копий, которые не существуют ... есть ли способ удалить данный настраиваемый атрибут? (Не очищайте значение, а на самом деле удалите атрибут из схемы - некоторые люди предпочли бы, чтобы атрибуты типа [отредактировано] не торчали.) Мне удалось найти и успешно протестировать метод в Windows 2k, но похоже, что Microsoft отключила эту опцию в SP4, и рассматриваемый домен относится к функциональному уровню 2003 года.

Нет, атрибуты схемы AD следует считать постоянными.

Если вы хотите, чтобы атрибут не отображался на вкладке «Редактор атрибутов» или в других диалоговых окнах, где объект может представлять список возможных атрибутов, вы можете попробовать отредактировать объект класса User в MMC схемы AD и удалить атрибут из список необязательных атрибутов. Вам нужно будет щелкнуть правой кнопкой мыши корень схемы и выбрать «Перезагрузить схему», чтобы она вступила в силу, или подождать пять минут, пока контроллер домена перезагрузит схему.

Что касается поиска того, что использует атрибуты, я думаю, что ваша лучшая надежда - это довольно серьезное ведение журнала событий доступа к службе каталогов, включив параметр для него в конфигурации аудита объекта групповой политики контроллеров домена, а также установив агрессивные списки управления доступом для наследования повсюду домен. Журналы, скорее всего, будут очень шумными.

Если возможно, новые функции аудита служб каталогов в 2008 году могут оказаться большим подспорьем в этом процессе; получите контроллер домена 2008 года, если можете!


Когда вы будете готовы избавиться от этих модификаций схемы - к сожалению, нет никакого способа очистить всю память от модификации схемы, но вы можете по крайней мере остановить ее использование и сделать так, чтобы она казалась удаленной.

Вы измените объект атрибута в схеме, чтобы иметь isDefunct значение TRUE; это можно сделать с помощью ADSIEdit или оснастки Active Directory Schema. См. Раздел «Удаление информации из схемы» в эта документация для получения дополнительной информации.

Если вы не на 100% уверены, что атрибут не используется, можно попробовать отключить его; вы можете отменить изменение, установив isDefunct вернуться к FALSE (старые значения останутся там после повторной активации). Определенно сначала идите по пути одитинга, если возможно, но вариант есть.