在 Active Directory 用户和计算机中使用属性编辑器

Active Directory 属性编辑器是一个内置图形工具，用于管理 AD 对象（用户、计算机、组）的属性。在属性编辑器中，您可以查看和更改 ADUC 控制台中显示的对象属性中不可用的 AD 对象属性值。

在 Active Directory 用户和计算机中启用属性编辑器选项卡

为了使用 AD 属性编辑器，您需要安装

dsa.msc

管理单元（ADUC — Active Directory 用户和计算机），它是 Windows 的 RSAT（远程服务器管理工具）的一部分。要安装 Active Directory 管理组件，请运行以下 PowerShell 命令：

• 在 Windows 10 和 11 上：

  Add-WindowsCapability -online -Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

• 在 Windows Server 2022/2019/2016/2012R2 上，您可以使用 Install-WindowsFeature cmdlet 安装角色和功能：

  Install-WindowsFeature RSAT-ADDS

从 Windows Server 2008 R2 开始，ADUC 控制台中提供内置 Active Directory 属性编辑器。

尝试打开AD中任意用户的属性。如您所见，一些带有用户属性的选项卡可用。以下是其中的主要内容：

• 常规 - 创建 AD 帐户时设置的基本用户属性（名字、姓氏、电话号码、电子邮件地址等）。

• 地址

• 帐户 - 帐户名称（samAccountName、userPrincipalName）。在这里您可以指定用户可以登录的计算机列表（LogonWorkstations），或以下选项：密码到期、用户无法更改密码、启用/禁用帐户、帐户到期日期等。如果用户的帐户由于域的密码策略输入错误密码而被锁定，您还可以在此处启用用户；

• 配置文件 - 您可以设置用户配置文件的路径（在具有漫游配置文件的情况下）、登录脚本、主文件夹和映射的网络文件夹。

• 电话

• 组织 - 职位、部门、公司、经理姓名；

• 远程控制 - Windows 中用户会话影子连接的设置；

• 会话 - RDP/RDS 会话超时（限制）；

• 成员 - 用户所属的 Active Directory 组列表。

要修改用户属性之一的值，只需更改字段中的值，然后单击“应用”或“确定”保存更改。

此窗口中仅提供基本的用户属性集，但 AD 中的 User 类包含更多属性 (200 多个)。

要启用高级 Active Directory 属性编辑器，请选中 ADUC 查看 菜单中的高级功能选项。

然后再次打开用户属性，请注意出现了一个单独的属性编辑器选项卡。如果切换到它，AD 用户属性编辑器将打开。您可以在表格形式中看到所有用户属性及其值的列表。您可以单击任何属性来更改其值。例如，如果更改部门属性的值，您将看到用户属性的组织选项卡中的部门名称也发生了更改。

从属性编辑器中，您可以复制 DistinguishedName 值（采用以下格式：

CN=Jon Brion,OU=Users,OU=California,OU=USA,DC=a-d,DC=com

— AD 中唯一的对象名称），查找帐户创建日期（

whenCreated

）， ETC。

您可以在此处复制要在 PowerShell 脚本中使用的对象属性的确切名称/值。

AD 属性编辑器表单底部有一个过滤器按钮。默认情况下，属性窗口中仅显示非空对象属性（选中仅显示具有值的属性选项）。如果取消选中它，则 User 类的所有属性都将显示在编辑器中。另请注意仅显示可写属性选项。如果启用，则仅显示您被授予编辑权限的属性（如果您没有该用户属性的修改权限，则属性列表将为空）。

您还可以使用“过滤器”->“强制”选项仅显示强制属性（对于用户来说，这些是

cn

,

objectCategory

,

objectClass

,

sAMAccountName

）或仅附加（可选属性）与过滤器 - >可选。

大多数 AD 属性都有内置的值解码功能。例如：

• 您可以通过lastLogonTimestamp属性查看域用户的上次登录时间。正如您所看到的，时间在属性编辑器中正常显示，但是如果您单击它，您会看到实际上时间存储为时间戳值；
  

  

• 帐户状态存储在userAccountControl 属性中。您会看到更方便的视图，而不是位掩码。例如，

  0x200 = (NORMAL_ACCOUNT)

  而不是 512；
  

  

• 但是，AD 中用户的照片（thumbnailPhoto 属性）不会显示，而是以二进制格式存储。

要查看和编辑 AD 中的所有用户、组或计算机属性，您可以使用 RSAT-AD-PowerShell 模块中的 PowerShell cmdlet，而不是属性编辑器 GUI。

查看所有对象属性的值：

• 用户的：

  Get-ADUser username -Properties *

• 计算机的：

  Get-ADComputer computername -Properties *

• 一组的：

  Get-ADGroup groupname -Properties *

要更改 AD 中的对象属性，请分别使用 Set-ADUser、Set-ADComputer 和 Set-ADGroup cmdlet。

Active Directory 搜索结果中缺少属性编辑器选项卡

AD 属性编辑器的主要缺点是，如果您使用 Active Directory 搜索找到它，它不会显示在对象属性中。要使用属性编辑器，必须在AD树中展开包含所需对象的容器（组织单元，OU），在列表中找到该对象，然后打开其属性（相当不方便）。

我发现了一个小技巧，如果您通过 ADUC 控制台中的搜索找到该帐户，则可以使用该技巧打开用户的属性编辑器。

1. 使用搜索找到您需要的用户；

2. 转到包含用户组列表的选项卡（成员）；

3. 打开其中一个组（最好包含尽可能少的用户）；

4. 在组属性中，转到成员选项卡并关闭 (!) 用户属性窗口；
   

   

5. 然后在组成员列表中单击您需要的用户，将出现带有“属性编辑器”选项卡的用户属性窗口。
   

   

您还可以使用 Active Directory 保存的查询打开属性编辑器。例如，您可以使用以下查询按名称查找用户：

(objectcategory=person)(samaccountname=*andrey*)

或者您可以使用新的 Active Directory 管理中心 管理单元 (

dsac.msc

），其中用户（计算机）属性编辑器选项卡甚至可用于搜索结果（检查扩展选项卡）。

使用 ADSI Edit 修改 Active Directory 对象属性

ADSI Edit（Active Directory 服务接口编辑）控制台是一个较低级别的工具，用于管理和编辑 LDAP 目录中的对象和属性（包括 Active Directory 数据库部分 NTDS.dit 中的对象和属性）。 ADSI 编辑控制台可用于编辑通过标准 Active Directory 管理单元 MMC 无法使用的属性、对象和目录分区、修复 Active Directory 错误以及使用 AD 存储其配置的各种服务对象（Exchange、SCCM）。

要打开 ADSI 编辑管理单元，请按 Win + R 并运行

adsiedit.msc

命令。

首次启动 ADSI 控制台时，系统将提示您选择要连接到的 Active Directory 命名上下文（操作 -> 连接到）。以下部分可用：

• 默认命名上下文

• 配置

• 根DSE

• 模式

在我们的示例中，我们将使用 ADSI 控制台作为用户/计算机属性编辑器，因此我们需要连接到默认命名上下文。

您将在 AD 中看到容器和 OU 的树形结构。您可以在此处找到所需的 Active Directory 对象并打开其属性。您将看到对象属性编辑器窗口。您可以在此处查看或更改用户/计算机/组属性的值。

使用 ADSI Edit 编辑 AD 分区、架构属性或对象属性时要特别小心。该工具允许您直接将更改写入数据库、架构和 AD 配置，并绕过标准 MMC 控制台的最简单的检查和限制。我们建议在使用 adsiedit.msc 更改目录之前备份 Active Directory。