Product SiteDocumentation Site

9.3. Свойства объектов

Существует два режима работы ADMC: обычный и расширенный режим. При включении расширенного режима (НастройкиДополнительные возможности) в свойствах всех объектов появляются дополнительно две вкладки: Атрибуты и Объект. Для объекта пользователь также появляется вкладка Безопасность.
Окно Учетная запись пользователя – Свойства в расширенном режиме:
Окно «Учетная запись пользователя – свойства – ADMC»
По умолчанию отображается вкладка Общее.

Таблица 9.1. Назначение вкладок окна «Свойства учётной записи пользователя»

Вкладка
Описание
Расширенный режим
Общее
Основная вкладка, содержащая информацию, идентифицирующую личность пользователя, которой соответствует данная учётная запись
-
Учётная запись
Характеристики учётной записи пользователя, настройка правил регистрации в сети
-
Адрес
Почтовый адрес пользователя
-
Организация
Данные о сотруднике согласно штатному расписанию
-
Телефоны
Настройка телефонии
-
Группы
Управление членством в группах безопасности
-
Атрибуты
Список атрибутов объекта
+
Объект
Информация об объекте
+
Делегирование
-
Безопасность
Права доступа к объекту
+
Во вкладке Общее задаются личные данные сотрудника и его контактная информация: телефоны, размещение, адрес электронной почты и др. Вкладка Общее отображается по умолчанию при вызове свойств учётной записи любого объекта AD. В качестве значений параметров указаны названия соответствующих им полей в AD.

Таблица 9.2. Соответствие параметров на вкладке «Общее» полям в AD

Поле на вкладке Общее
Примечание
Поле в Active Directory
Тип
Полное имя
Во вкладке Общее значение этого поля изменить нельзя
cn, name
Юникод
Описание
description
Юникод
Имя
givenName
Юникод
Фамилия
sn
Юникод
Отображаемое имя
Значение этого параметра складывается из суммы значений трех параметров: First Name, Initials и Last Name
diplayName
Юникод
Инициалы
Длина не более 6 символов
initials
Юникод
Электронная почта
Автоматически заполняемое поле в соответствии с форматом UPN (RFC 822) при создании почтового ящика для учётной записи пользователя. По умолчанию поле пустое
mail
Юникод
Расположение офиса
Указывается физическое месторасположение пользователя: комната, офис и т.д.
physicalDeliveryOfficeName
Юникод
Номер телефона
telephoneNumber
Юникод
Другие телефоны
Можно задать, нажав кнопку Другие…
otherTelephone
Юникод
Адрес веб-страницы
wWWHomePage
Юникод
Другие адреса веб-страниц
Можно задать, нажав кнопку Другие…
url
Юникод
Во вкладке Учетная запись сосредоточены настройки, характеризующие правила доступа пользователя к сети, включая имя входа в сеть:
Вкладка «Учетная запись»

Таблица 9.3. Соответствие параметров на вкладке «Учетная запись» полям в AD

Поле на вкладке Учетная запись
Примечание
Поле в Active Directory
Тип
Имя для входа
Имя пользователя для входа (логин пользователя)
userPrincipalName
Юникод
Разблокировать учётную запись
Позволяет разблокировать учётную запись пользователя, если она была заблокирована, например, из-за слишком большого количества неудачных попыток входа
userAccountControl = 16
Целое число
Срок действия учётной записи
Дата отключения учётной записи (по умолчанию Никогда — неограниченный срок действия). Если нужно задать дату окончания срока действия учётной записи пользователя, следует выбрать Конец и затем выбрать дату
accountExpires
Большое целое число
Время входа…
Часы, в которые пользователю разрешено выполнять вход в домен
logonHours
Октет
Учетная запись отключена (ACCOUNTDISABLE)
Если эта опция включена, пользователь не сможет войти в систему
userAccountControl = 0x0002 (2)
Целое число
Пользователь не может изменить пароль (PASSWD_CANT_CHANGE)
userAccountControl = 0x0040 (64)
Целое число
Пользователь должен сменить пароль при следующем входе в систему
pwdLastSet
Большое целое число
Пароль не истекает (DONT_EXPIRE_PASSWORD)
Срок действия пароля для этой учётной записи никогда не истечет
userAccountControl = 0x10000 (65536)
Целое число
Хранить пароль с использованием обратимого шифрования (ENCRYPTED_TEXT_PWD_ALLOWED)
Для шифрования ключей использовать DES-шифрование. Эта политика обеспечивает поддержку приложений, использующих протоколы, требующие знание пароля пользователя для проверки подлинности
userAccountControl = 0x0080 (128)
Целое число
Смарт-карта необходима для интерактивного входа в систему (SMARTCARD_REQUIRED)
Пользователь должен войти в систему с помощью смарт-карты
userAccountControl = 0x40000 (262144)
Целое число
Учетная запись является конфиденциальной и не может быть делегирована (NOT_DELEGATED)
Пользователю нельзя доверять делегирование полномочий
userAccountControl = 0x100000 (1048576)
Целое число
Использовать Kerberos DES тип шифрования для этой учётной записи (USE_DES_KEY_ONLY)
Ограничить этот субъект использованием только типов шифрования DES (стандарт шифрования данных) для ключей
userAccountControl = 0x200000 (2097152)
Целое число
Не требовать предварительной аутентификации Kerberos (DONT_REQ_PREAUTH)
Для доступа к ресурсам сети не нужно предварительно проверять подлинность с помощью протокола Kerberos
userAccountControl = 0x400000 (4194304)
Целое число
Доверять делегирование (TRUSTED_FOR_DELEGATION)
Учетная запись пользователя или компьютера, под которой выполняется служба, является доверенной для делегирования Kerberos. Любая такая служба может олицетворять клиента, запрашивающего службу
userAccountControl = 0x80000 (524288)
Целое число

Примечание

userAccountControl — атрибут управления учётной записью пользователя. Значение атрибута userAccountControl, образуется путем суммирования всех установленных значений. В таблице приведены только те значения, которые можно изменить явным образом на вкладках Учетная запись и Делегирование. Значения UserAccountControl по умолчанию для определенных объектов:
  • обычный пользователь (NORMAL_ACCOUNT): 0x200 (512);
  • контроллер домена (SERVER_TRUST_ACCOUNT): 0x2000 (8192);
  • рабочая станция или сервер (WORKSTATION_TRUST_ACCOUNT): 0x1000 (4096).
На вкладке Группы формируется список групп, членом которых является текущий пользователь. Здесь также можно назначить основную группу (Primary Group). Для управления членством пользователя в группах безопасности AD используются две кнопки, находящиеся под списком групп, членами которой является пользователь: Добавить и Удалить. По умолчанию пользователь входит в группу Domain Users.
Вкладка «Группы»
На вкладке Делегирование доступно два параметра:
  • Не доверять делегирование — запрещение делегирования услуг;
  • Доверять делегирование любых служб с использованием Kerberos — задает возможность делегирования услуг только с помощью протокола Kerberos.
Вкладка «Делегирование»

Примечание

Протокол проверки подлинности Kerberos — это основной протокол безопасности для проверки подлинности в домене. Он проверяет подлинность пользователя и системы.
Каждому объекту в сети назначается набор данных об управлении доступом. Этот набор данных определяет, какой тип доступа разрешается пользователям и группам. Управление разрешениями для выбранного объекта доступно на вкладке Безопасность:
Вкладка «Безопасность»
В поле Разрешения отображается список действующих разрешений и запретов для каждой выбранной группы. Чтобы установить разрешения для группы, которая отсутствует в списке можно воспользоваться кнопкой Добавить… или Добавить известное доверенное лицо….
Для тонкого редактирования свойств объектов AD (пользователей, компьютеров, групп) можно воспользоваться вкладкой Атрибуты:
Вкладка «Атрибуты»
Эту вкладку можно использовать для просмотра и редактирования атрибутов, недоступных через другие вкладки окна Свойства объекта (например, для просмотра значений неизменяемых атрибутов).
Содержимое окна редактирования атрибута зависит от типа атрибута. Окно редактирования атрибута целого типа:
Изменение значения целочисленного атрибута
Окно редактирования атрибута логического типа:
Изменение значение атрибута логического типа
Для большинства атрибутов AD имеется встроенная функция декодирования значений. Например, значение атрибута lastLogon или lastLogonTimestamp (информация о времени последнего входа пользователя в домен) во вкладке Атрибуты и в окне редактирования атрибута отображается в формате «Дата Время», хотя время хранится в виде большого целого числа, представляющего число 100-наносекундных интервалов с 1 января 1601 (UTC):
Атрибут lastLogonTimestamp
Кнопка Загрузить необязательные атрибуты позволяет загрузить значения необязательных атрибутов:
Необязательные атрибуты
Кнопка Фильтр позволяет управлять отображением списка атрибутов:
  • Без значения — показывать пустые атрибуты;
  • Только для чтения — показывать все атрибуты, в том числе на правку которых нет полномочий. Если снять отметку с этого пункта, будут показаны только те атрибуты, на правку которых делегированы полномочия (например, если у пользователя нет полномочий на изменение атрибутов данного объекта, список атрибутов будет пуст);
  • Обязательные — показывать обязательные атрибуты;
  • Необязательные — показывать необязательные (дополнительные) атрибуты;
  • Системные — показывать системные атрибуты, которые может изменять только сервер AD (например, objectClass);
  • Сконструированные — показывать атрибуты, которые не хранятся в каталоге, но вычисляются контроллером домена (например, canonicalName);
  • Обратные ссылки — показывать связанные атрибуты (например, memberOf).
Управление отображением списка атрибутов