Lo primero que ves al abrir Usuarios y equipos de Active Directory (ADUC) complemento son contenedores AD (Unidad de organización, OU), en el que se colocan cuentas de usuario, equipos y grupos. Según el tamaño y la estructura organizativa, la cantidad de unidades organizativas en Active Directory puede ser bastante grande.
Además, hay algunos contenedores predefinidos. La mayoría de ellos no se utilizan, pero se muestran en la consola ADUC, lo que abarrota el espacio y dificulta la administración de AD.
Así es como se ve el complemento ADUC inmediatamente después de instalar el Servicio de Directorio Activo (ADDS) — por defecto, muestra los siguientes contenedores:
- Incorporado — contenedor que contiene los grupos de seguridad incorporados (Administradores, Operadores de respaldo, Lectores de registro de eventos, etc.);
- Ordenadores — contenedor predeterminado para las computadoras
- Controladores de dominio — contenedor predeterminado para controladores de dominio
- ExtranjeroSeguridadPrincipals — contenedor que solía almacenar identificadores de seguridad (SID), relacionados con dominios de confianza
- Cuentas de servicio administradas — contenedor para cuentas de servicios gestionados especiales
- Usuarios — contenedor predeterminado para grupos y usuarios. Contiene grupos tan importantes como administradores de dominio, administradores de empresa y administradores de esquema.
Pero eso no es todo, de hecho hay muchos más contenedores estándar. Para verlos todos, es necesario comprobar Características avanzadas desde el Vista opción de menúcambiando así el ADUC en modo avanzado.
Y así es como se ve ADUC en el modo Avanzado. Como puede ver, los objetos que rara vez se usan (según Microsoft) se ocultan y se muestran solo en el modo Avanzado. Sin embargo, cualquier contenedor en AD se puede ocultar y no será visible en el modo Estándar.
Para hacer esto, necesita cambiar Mostrar solo vista avanzada atributo, que es responsable de la apariencia del contenedor en AD. A partir de Windows Server 2008, se puede hacer directamente desde el complemento ADUC que se ejecuta en el modo de funciones avanzadas.
Consejo. Atributo Mostrar solo vista avanzada apareció por primera vez en la versión de Windows 2000 Server de AD. Para cambiarlo en Windows 2000/Windows 2003, debe instalar una consola ADSIEDIT especial (incluida en el paquete de herramientas de soporte). En Windows 2008 y posteriores, es posible modificar este atributo directamente desde la consola Usuarios y equipos de AD.
Entonces, queremos ocultar el Usuarios envase. Haga clic con el botón derecho del mouse en Usuarios de OU y seleccione Propiedades.
En las propiedades del objeto ubique el Mostrar solo vista avanzada atributo y comprobar su valor. Para este contenedor, debe ser igual a False, ya que este es un contenedor no oculto. Hacer clic Editar botón.
Cambia el valor a Verdadero y haga clic DE ACUERDO. Ahora, el contenedor será visible solo en el modo Avanzado de la consola ADUC.
Lo mismo se puede hacer usando el ADSI editor. Ejecutarlo (adsiedit.msc) y conéctese al contexto de nomenclatura predeterminado con la configuración predeterminada.
Encuentre el contenedor deseado (por ejemplo, CN = Usuarios), haga clic derecho sobre él y seleccione Propiedades.
Encontrar Mostrar solo vista avanzada atributo y cambiar su valor a Verdadero.
Por lo tanto, podemos ocultar del complemento ADUC todos los contenedores innecesarios. ADUC se ve más compacto después de ocultar la mayoría de los contenedores. Si desea editar cualquier elemento en la parte "oculta" de AD, simplemente cambie la consola a la vista avanzada.
Una forma más compleja de ocultar el contenedor AD de usuarios o grupos específicos es una modificación de la ACL de seguridad del contenedor. Por ejemplo, queremos ocultar Jefe contenedor de todos los empleados autónomos (grupo AD FreelanceEmpleados). Haga clic derecho en Jefe contenedor, seleccione Propiedades y muévete a Seguridad pestaña.
Agregue el grupo de AD FreelanceEmployees a la ACL y niegue los siguientes permisos para este grupo:
- Contenido de la lista
- Leer todas las propiedades
- Permisos de lectura
Con dichos permisos, los usuarios del grupo FreelanceEmployees no podrán ver el contenedor BOSS en el árbol AD. En lugar de esto, OU mostrará este objeto como el tipo Desconocido.
Recomendado para ti
