我碰到一个高度定制的活动目录环境(2003 FL),这让我想知道是否有任何特别简单的方法来找出一个自定义属性的function是什么,什么,如果有的话,是“使用”该特定的属性。 然后,可能会从模式中删除自定义属性的一些很好的select。 除了恢复或从头开始。 如果这样的select存在。
例如,我想我可以相当肯定“isDumbass”属性值为TRUE意味着什么,而不是“IRPextCONST”,其值为393684.同样,我认为这应该是相当安全的删除“isDumbass”属性,但希望a)确定和b)找出什么是查询或更新该值,因为我怀疑任何使用该属性可能是下一步的东西要删除。 理想情况下,无需search每个自定义脚本和源代码的内容,当然,我可以得到我的手。
最后,除了从头开始重build,或者从不存在的备份中进行权威的AD还原,还有一种方法可以删除给定的自定义属性吗? (不是空白的值,但实际上从模式中删除属性 – 有些人宁愿没有像[编辑]悬而未决的属性。)我已经能够find并成功地testingWindows 2K上的方法,但它似乎Microsoft在SP4中禁用了此选项,所涉及的域是2003function级别。
至于查找什么是使用属性,我认为你最好的希望是通过在域控制器GPO的审计configuration中启用对目录服务访问事件的相当严格的日志logging,以及设置主动审计ACL来inheritance域名。 日志可能会非常嘈杂。
如果可能的话,2008年新的目录服务审计function可能对这个过程有很大帮助; 得到一个2008域控制器,如果你可以!
当你准备好摆脱那些架构修改时 – 很遗憾没有办法实际清除架构修改的所有内存,但是至less可以停止它的使用并使其看起来被删除。
您将修改架构中的属性对象以使isDefunct值为TRUE ; 这可以通过ADSIEdit或Active Directory架构pipe理单元完成。 有关更多信息,请参阅本文档中的 “从Schema中删除信息”部分。
如果你不能100%确定一个属性没有被使用,那么可以尝试使它失效; 您可以通过将isDefunct设置为FALSE来反转更改(当重新激活时,旧值仍然存在)。 如果可能的话,肯定会下降审计path,但选项在那里。
不,AD模式属性应该被认为是永久性的。
如果只希望该属性不出现在属性编辑器选项卡或对象可能显示可能属性列表的其他对话框中,则可能需要尝试编辑AD架构MMC中的用户类对象,然后从属性编辑器中删除属性可选属性列表。 您需要右键单击架构根,然后select“重新加载架构”才能生效,或者等待五分钟,以便域控制器重新加载架构。