Atributos personalizados no Active Directory - determinando o uso / função e possíveis opções de remoção?

Navegue suas respostas
3

Eu esbarrei em um ambiente altamente personalizado do Active Directory (2003 FL) que me fez pensar se existe alguma maneira particularmente fácil de descobrir qual é a função de um atributo personalizado, e o que "se" está usando atributo particular. E então, algumas boas opções para potencialmente remover atributos personalizados do esquema podem ser. Além de restaurar ou começar do zero. Se tal opção existe.

Por exemplo, acho que posso estar bastante certo do que o atributo "isDumbass" com um valor TRUE significa, mas não muito com "IRPextCONST", contendo um valor de 393684. Da mesma forma, eu pensaria deve ser seguro excluir o atributo "isDumbass", mas gostaria de a) ter certeza eb) descobrir o que está procurando ou atualizando esse valor de qualquer maneira, porque eu suspeito que qualquer coisa usando esse atributo pode ser o próximo a lista de coisas para remover. Idealmente, sem precisar executar uma pesquisa no conteúdo de cada script personalizado e um pouco do código-fonte em que eu possa entrar, é claro.

E, finalmente, além de reconstruir a partir do zero ou fazer uma restauração autoritativa do AD a partir de backups que não existem ... existe uma maneira de excluir um determinado atributo personalizado? (Não em branco o valor, mas realmente excluir o atributo do esquema - algumas pessoas preferem não ter atributos como [redigido] rondando.) Eu fui capaz de encontrar e testar com sucesso um método no Windows 2k, mas parece que A Microsoft desativou essa opção no SP4 e o domínio em questão é um nível funcional de 2003.

    
por HopelessN00b 20.06.2012 / 21:59

2 respostas

2

Quanto a descobrir o que está usando os atributos, acredito que sua melhor esperança seja um registro bastante severo dos eventos de acesso ao serviço de diretório, habilitando a configuração para ele na configuração de auditoria do GPO de Controladores de Domínio, bem como definindo ACLs de auditoria agressivas para herdar todo o domínio. Os logs provavelmente ficarão muito barulhentos.

Se possível, os novos recursos de auditoria dos Serviços de Diretório em 2008 podem ser uma grande ajuda nesse processo; obtenha um controlador de domínio de 2008, se puder!

Quando você estiver pronto para se livrar dessas modificações de esquema - infelizmente não há como purificar toda a memória de uma modificação de esquema, mas você pode pelo menos interromper seu uso e fazer com que pareça ser excluído.

Você modificará o objeto de atributo no esquema para ter um valor isDefunct de TRUE ; isso pode ser feito através do ADSIEdit ou do snap-in Esquema do Active Directory. Consulte a seção "Como remover informações do esquema" da documentação para mais informações.

Se você não tem 100% de certeza de que um atributo está fora de uso, não há problema em tentar torná-lo extinto; você pode reverter a alteração definindo isDefunct de volta para FALSE (os valores antigos ainda estarão lá quando forem reativados). Definitivamente, desça o caminho de auditoria, se possível primeiro, mas a opção está lá.

    
por 20.06.2012 / 23:26
3

Não, os atributos do esquema do AD devem ser considerados permanentes.

Se você deseja que o atributo não apareça na guia Editor de Atributos ou em outras caixas de diálogo em que um objeto pode apresentar a lista de possíveis atributos, convém tentar editar o objeto de classe Usuário no AD Schema MMC e remover o atributo atributo da lista de atributos opcionais. Você precisaria clicar com o botão direito do mouse na raiz do Esquema e selecionar "Recarregar o esquema" para que ele tenha efeito, ou esperar cinco minutos para o controlador de domínio recarregar o esquema.

    
por 21.06.2012 / 01:23

Tags

É correto reescrever endereços de e-mail destinados à entrega remota para usar o CNames? O Raid 5 com 4 discos na Debian cria automaticamente uma unidade sobressalente