Lista de Atributos do Usuário do Active Directory

Question

Lista de Atributos do Usuário do Active Directory

#1 resposta do (6 votos)
#2 resposta do (-1 votos)

4

Estou tentando encontrar uma lista de atributos do usuário do Active Directory que eu possa usar para personalização sem precisar estender o esquema. Estamos usando o nível funcional de 2008R2.

Eu exportei uma lista com o PowerShell de todas as propriedades. Mas eu não sei como saber quais são as user-info que eu posso editar (como displayname, phone, employee-id) e AD-Data que eu não deveria editar manualmente (dn, accountexpires). Eu posso ver alguns óbvios desta lista, como employee-id, extensionAttribute1-15.

Get-QADUser 'username' -IncludeAllProperties |  Get-Member -MemberType Properties

Encontrei alguns sites que listam todos os atributos, mas nenhum deles faz distinção entre dados do usuário e Dados do anúncio.

Esta lista da Microsoft divide as propriedades em Conjuntos de propriedades: Public-Information, User-Logon etc. mas ainda não divide a lista entre user-info e AD-Data. Também não inclui o ID do funcionário ou o extensionAttribute1-15

Pergunta: Existe essa lista de atributos do usuário do Active Directory que eu posso usar para personalização? Obrigado

Editar: Informação adicional: Nossos desenvolvedores querem anexar algumas informações a todas as contas de usuário para um novo aplicativo. O primeiro exemplo dos dados que eles desejavam anexar era o ID do funcionário. Este campo já existe no AD. Não me oponho a estender o esquema, apenas não quero alterar as coisas desnecessariamente ou duplicar os campos que já existem. Se eu puder dar a eles uma lista, pode haver campos com nomes apropriados que possamos usar. Se não, então estenderei o esquema.

Pergunta reordenada: Quais atributos posso usar para minhas próprias finalidades (por exemplo, displayname, phone, employee-id)? Quais atributos devo deixar sozinho (dn, lastModifiedDate, accountexpires)?

active-directory user-accounts schema

por Gre 04.04.2016 / 04:48

2 respostas

-1

Estou usando o atributo info como um campo personalizado. E funciona como um encanto sem alterar o esquema.

por 04.04.2016 / 06:32

Tags active-directory user-accounts schema

rsync muitos arquivos pequenos com nomes extensos de arquivos consomem muita largura de banda Como juntar o computador ao domínio

score 6 · Accepted Answer

A resposta curta é que existem apenas alguns atributos destinados a metadados cosméticos em uma conta de usuário como description e info . Mesmo os extensionAttributeX não são realmente destinados à sua personalização. Eles fazem parte das extensões do esquema do Exchange e devem ser considerados "reservados" se você estiver realmente executando o Exchange.

Uma pergunta melhor é por que você está tentando evitar estender seu esquema? Não há nada de inerentemente arriscado em fazê-lo. Se você tiver um caso de uso válido para adicionar metadados personalizados específicos de negócios em uma classe específica, crie um nome de atributo lógico e inclua-o. Talvez tenha certeza que seu arquivo ldif funcione da maneira que você pretende em um DC temporário que você abrir primeiro. Mas, afinal, é a única maneira de garantir que nada mais pise nele ou seja afetado por ele.

Se você está tentando evitá-lo por causa de questões políticas (sua equipe não gerencia o AD e a equipe do AD é avessa a mudanças de esquema), ainda é de seu interesse lutar contra o bom combate e fazer uma justificativa comercial para a mudança (supondo que você realmente tenha uma boa justificativa comercial).

Se a sua necessidade for apenas temporária, talvez use apenas algo como description ou info , sabendo que suas equipes de gerenciamento de usuários podem estragar os dados acidentalmente. Também é possível que alguns softwares de terceiros mal escritos possam ter a mesma ideia e entrar em conflito com os seus.

Você também pode atualizar sua pergunta com mais detalhes sobre o tipo de dados que você está tentando adicionar. Pode haver atributos existentes que você poderia usar para os seus propósitos já.

Resposta para edição : como você apontou, já existe um employeeID atributo que você pode usar. Há também um atributo employeeNumber . Mas, novamente, a resposta para a raiz da sua pergunta é que não há uma lista definitiva de atributos graváveis preexistentes que nenhum outro software usa. A melhor maneira de fazer o que você está tentando fazer é abrir a caixa de diálogo de propriedades de um usuário em seu domínio, selecionar a guia Atributos, alterar o filtro para Show only writable attributes e rolar para baixo procurando algo que não tenha dados nele ainda pode caber sua definição de dados. Em seguida, procure no Google esse nome de atributo específico para ver qual é o objetivo pretendido do atributo e como uma verificação de integridade para ver se algo que você usa em seu ambiente também o usa.