1.2K
Todos los objetos (clases) de Active Directory tienen un conjunto predefinido de atributos (propiedades). Por ejemplo, la clase de usuario AD tiene los atributos Nombre, Apellido, Ciudad, Oficina, OficinaTeléfono, etc. Puede almacenar opciones de usuario en atributos existentes, usar el atributo extensionAttribute1-15 especial o crear un nuevo atributo. En este artículo, veremos cómo agregar un nuevo atributo (por ejemplo, vehRegCode) a un usuario en Active Directory local.
Notas importantes
- El cambio de esquema afecta a todo el bosque de AD;
- No puede deshacer el cambio de esquema y eliminar el nuevo atributo;
- Antes de cambiar el esquema, copia de seguridad de Active Directory.
Para cambiar el esquema, debe tener privilegios de administrador de esquema. Agrega tu cuenta a la Administradores de esquema grupo.
Los atributos de clase de Active Directory se configuran en el esquema de AD. Debe utilizar el complemento Administrador de esquemas para editar el esquema de Active Directory. Para ejecutarlo, ejecute el comando:
regsvr32 schmmgmt.dll
Después de registrar un complemento:
- Abra una nueva consola MMC (mmc.exe)
- Haga clic en Archivo > Agregar o quitar complemento;
- Agregue el complemento Esquema de Active Directory y haga clic en Aceptar.
Conéctese a un controlador de dominio que posea la función de maestro de esquema FSMO.
Expanda el esquema de Active Directory, haga clic con el botón derecho Atributosy seleccione Crear atributo.
Se le advertirá que cambiar el esquema de AD es una operación permanente.
En el formulario abierto, debe completar los parámetros del nuevo atributo:
- Nombre común — nombre del atributo (no debe contener espacios).
- Nombre para mostrar LDAP — este valor se completa automáticamente después de determinar el CN, pero puede cambiarlo. Cuando se hace referencia a un objeto en un script, debe llamarse utilizando el nombre para mostrar de LDAP en lugar del CN.
- ID de objeto X500 — ID de atributo único en el esquema de AD. Utilice el siguiente script de PowerShell para generar este valor de parámetro.
- Sintaxis — tipo de atributo (booleano, cadena Unicode, cadena numérica, entero, entero grande, SID, nombre distinguido, etc.). Según el valor seleccionado en el campo Sintaxis, debe completar otros valores. En nuestro ejemplo, será una cadena Unicode regular con una longitud máxima de 10 caracteres.
Script de PowerShell para generar el ID de objeto X500:
$Prefix="1.2.840.113556.1.8000.2554"
$GUID=[System.Guid]::NewGuid().ToString()
$Parts=@()
$Parts+=[UInt64]::Parse($guid.SubString(0,4),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(4,4),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(9,4),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(14,4),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(19,4),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(24,6),"AllowHexSpecifier")
$Parts+=[UInt64]::Parse($guid.SubString(30,6),"AllowHexSpecifier")
$OID=[String]::Format("{0}.{1}.{2}.{3}.{4}.{5}.{6}.{7}",$prefix,$Parts[0],$Parts[1],$Parts[2],$Parts[3],$Parts[4],$Parts[5],$Parts[6])
$oid
Complete todos los campos en el formulario Crear nuevo atributo y haga clic en Aceptar.
Ahora necesitamos agregar un nuevo atributo a la usuario clase:
- Ampliar la Clases recipiente, encuentre el usuario clase, abra sus propiedades y vaya a la Atributos pestaña;
- Haga clic en el Agregar y seleccione el atributo que creó anteriormente de la lista.
Ahora ejecute el complemento Usuarios y equipos de Active Directory (dsa.msc), abra las propiedades para cualquier usuario y verifique si el Editor de atributos La pestaña ahora muestra el nuevo atributo. Puede cambiar su valor.
Para obtener el valor de un nuevo atributo usando PowerShell, use el comando:
Get-ADUser –identity bjackson –properties vehRegCode|select name, vehRegCode
Para cambiar el valor de un nuevo atributo de usuario:
Set-ADUser a.novak -Add @{vehRegCod = "3265JA"}
