Відразу після установки нового домену Active Directory в корені консолі Active Directory User and Computers (ADUC) з'являється кілька визначених службових контейнерів (OU). Більшість з них рідко використовуються при повсякденному адмініструванні Active Directory, проте займають місце в консолі, і "муляють" очі адміністратору AD. У цій статті ми розберемося, як можна приховати непотрібні контейнери AD в консолі AD Users and Computers.
Нагадаємо, за замовчуванням, в консолі ADUC з'являється більше контейнери:
- Bultin
- Computers
- Domain Controllers
- ForeignSecurityPrincipals
- Managed Service Accounts
- Users
Насправді об'єктів верхнього рівня набагато більше, щоб відобразити всі, в тому числі приховані об'єкти AD з розширеними атрибутами, в консолі ADUC потрібно в меню View відзначити опцію "AdvancedFeatures".
Microsoft таким чином просто "приховала" досить рідко використовуються стандартні елементи каталогу AD, щоденний доступ до яких не потрібно (якщо взагалі потрібен). Яким чином будь-який OU в AD зробити прихованим, щоб він не відображався в звичайному режимі роботи консолі ADUC?
Для цього потрібно змінити атрибут, керуючий видимістю будь-якого контейнера в AD під назвою showInAdvancedViewOnly. Даний атрибут вперше з'явився ще в версії AD Windows 2000 Server. Для його редагування в Windows 2000 / Windows 2003 потрібно було встановлювати спеціальну консоль ADSIEDIT (що входить до складу утиліт адміністратора Windows - Support Tools). У Windows 2008/2008 R2 Microsoft зробила функціонал цього інструменту частково доступним прямо в консолі AD Users and Computers (в розширеному режимі роботи при включеній AdvancedFeatures), Для цього досить у вікні властивостей об'єкта вибрати вкладку AttributeEditor.
Наприклад, у контейнера ForeignSecurityPrincipals значення showInAdvancedViewOnly = False. Це означає, що даний контейнер не є прихованим.
Поміняємо значення параметра showInAdvancedViewOnly на true, в результаті даний контейнер перестане відображатися в консолі ADUC.
Які ж із стандартних контейнерів в AD можна приховати?
Builtin: Можна приховати. В цьому контейнері містяться стандартні (вбудовані) групи AD: Account Operators, Backup Operators, Event Log Readers, Guests, Server Operators і т.д. Склад цих груп змінюється рідко.
ForeignSecurityPrincipals: - також варто приховати. Контейнер використовується для зберігання ідентифікаторів безпеки (SID), пов'язаних із зовнішніми довіреними доменами. Використовується вкрай рідко
Users: Можна приховати. Незважаючи на свою назву, даний контейнер не рекомендується використовувати для створення і зберігання призначених для користувача облікових записів. У OU Users зберігаються такі важливі доменні групи, як Domain Admins, Enterprise Admins, Schema Admins і т.д.
ManagedServiceAccounts: Контейнер з'явився в Windows 2008 R2 і використовується для управління сервісними обліковими записами. Також можна приховати.
Computers: Стандартний OU для комп'ютерів, що додаються в домен (наприклад, за допомогою першого способу, описаного в статті Як включити Windows 8 в домен). Згідно з документацією Microsoft, не рекомендується використовувати даний контейнер для повсякденної роботи. Облікові записи, що з'являються тут потрібно переносити в продуктивні OU (в залежності від структури каталогу), або ж за допомогою команди redircmp перенаправляти комп'ютери відразу в нову OU (докладніше описано в статті Заміна стандартного OU Computers в AD).
В результаті, приховавши частину структури каталогів, в консолі не відображається нічого зайвого, і спрощується повсякденна робота адміністратора з консоллю з ADUC, за рахунок ось такого компактного виду. Якщо необхідно відредагувати будь-який об'єкт в "прихованої" частини AD, досить перемкнути консоль AD в "розширений вид".
