Как да забраним функцията Drag-And-Drop в конзолата Active Directory Users & Computers

Drag-And-Drop функцията е доста полезна като цяло . Тя присъства и в конзолата Active Directory Users & Computers (ADUC)в сървърните версии на Windows, когато имате домейн. В този контекст маркирате даден потребителски/компютърен акаунт или организационна единица, провлачвате с мишката и обектът отива на новото място. Но при малко невнимание можете да сбъркате целевото OU и обектът да попадне на друго място. Това би създало много проблеми, особено ако не го забележите – в конкретното OU може да се отразяват различни групови политики, може да има делегиран контрол. Въобще – неприятна случка.

От SP1 за Server 2003 нагоре можете да забраните функцията Drag-And-Drop в ADUC. Атрибутът, който трябва да се модифицира се нарича flags и за всеобщо щастие се намира в самата Активна директория.

Обектът е:
[code]CN=DisplaySpecifiers,CN=Configuration,DC=XXX,DC=YYY

където XXX е името на домейна отвторо ниво, а YYY е името на домейна от първо ниво. Ако Вашият домейн е contoso.com, то XXX=contoso, а YYY=com[/code]

Както забелязвате DisplaySpecifiers се намира в Configuration дяла на Активната директория. Просто казано, когато зададете стойност на атрибута flags на обекта DisplaySpecifiersчрез методите на репликацията тази промяна ще се отрази на абсолютно всички домейн контролери В ЦЯЛАТА ГОРА.

Всички домейни от една гора споделят общи т.е. един Configuration и Schema дялове

При стартирането си ADUC проверява тази атрибут, катого изчита от най-близкия домейн контролер и реагира според стойността. Ефектът, който ще постигнете е, че ще забраните Drag-And-Drop функцията в цялата гора с няколко щраквания на мишката и изчакване на репликацията 🙂

Тълкуване на стойността на атрибута flags:

  • стойност 1 – Drag-And-Drop в ADUC е забранен;
  • стойност <not set> (чрез натискане на бутона clear) – Drag-And-Drop е разрешен.

Стъпки:

  1. СтартирайтеADSIEDIT (Start -> Run -> adsiedit.msc);
  2. Свържете се с най-близкия домейн контролер, като изберете директорийния дял да бъде Configuration (cn=configuration,dc=your,dc=domain);
  3. В списъка намерете и маркирайте обекта CN=DisplaySpecifiers -> десен бутон на мишката -> Properties;
  4. В списъка атрибути за този обект намерете и маркирайте атрибута flags;
  5. Щракнете на бутона Edit и въведете стойност “1” – без кавичките;
  6. Натиснете ОК и после пак ОК;
  7. Отворете нова конзола на Active Directory Users & Computers. Вече трябва функцията Drag-And-Drop да не действа

Ако искате да разрешите отново Drag-And-Drop повторете всички стъпки, но в стъпка 5 не въвеждайте стойност, а само натиснете бутона Clear.

Допълнителна информация:

Leave a Reply

Your email address will not be published. Required fields are marked *