Wie kann ich die AD Spalten-Anzeige erweitern?

apocalyps3
Goto Top
Hallo Kollegen,

ich möchte im Active Directory gerne benutzerdefinierte Felder hinzufügen.

-> Wie kann ich das wo machen? Eine verständliche Anleitung wäre super.


Zudem möchte ich bei der Benutzerliste "Spalte hinzufügen/entfernen" gerne mehr Spalten angezeigt bekommen. Zum Beispiel Felder aus dem Attribut-Editor oder benutzerdefinierte Felder. Leider finde ich keine genaue Möglichkeit dafür. Als Anfang wollte ich gerne ein Feld "TicketID" anlegen und dieses in der Benutzerliste mit anzeigen. Weitere Felder wären Personalnummer bzw. Personal-ID

Könnt ihr mir weiterhelfen? Ich habe diesbezüglich noch keine Erfahrung gesammelt.

Viele Grüße

Content-Key: 1740426885

Url: https://administrator.de/contentid/1740426885

Ausgedruckt am: 17.05.2022 um 23:05 Uhr

Mitglied: SlainteMhath
SlainteMhath 19.01.2022 um 16:29:31 Uhr
Goto Top
Moin,

Für benutzerdefinierte Felder musst du das Schema erweitern. Das ist hier eigentlich ganz gut erklärt:
https://support.passageways.com/hc/en-us/articles/360025839372-Adding-Cu ...

Im MMC SnapIn sieht allerdings mau aus. Da hast du nur die Optionen die unter "Spalte hinzufügen/entfernen" vorgeschlagen werden. Evtl. gibt's was 3rd Party oder du bastelst dir was mit PS

lg,
Slainte
Mitglied: ApoCalyps3
ApoCalyps3 20.01.2022 um 07:10:52 Uhr
Goto Top
Okay, das mit den benutzerdefinierten Feldern habe ich soweit verstanden.

Bezüglich "Anzeige der Spalten erweitern": Gibt es denn kein wirkliches Angebot hier? Ich habe nichts wirkliches hierzu gefunden. Bin etwas überrascht. Ist doch total nervig, dass man in der Anzeige so "limitiert" ist..

Würde mich freuen wenn jemand jemanden kennt, der etwas kennt und so..
Mitglied: colinardo
Lösung colinardo 20.01.2022 aktualisiert um 10:30:57 Uhr
Goto Top
Zitat von @ApoCalyps3:

Bezüglich "Anzeige der Spalten erweitern": Gibt es denn kein wirkliches Angebot hier? Ich habe nichts wirkliches hierzu gefunden. Bin etwas überrascht. Ist doch total nervig, dass man in der Anzeige so "limitiert" ist..

Würde mich freuen wenn jemand jemanden kennt, der etwas kennt und so..

Servus,
die möglichen Spalten die zur Anzeige zur Verfügung stehen kannst du über ein Attribut im AD steuern und so die Auswahl erweitern, wie das geht kannst du hier nachlesen (Achtung, das 409 in der Anleitung muss bei einer deutschen Konsole auf 407 gewählt werden!
https://www.showmehowtodoit.com/how-to-add-additional-columns-in-active- ...

ERWEITERUNG: Um diese Spalten aber auch in OrganizationalUnit-Containern und sonstigen Default-Containern in ADUC anzuzeigen sind die im Link genannten Schritte auch für folgende Container zu wiederholen.
(Nach den Änderungen die Konsole neu starten)

screenshot

screenshot

Und zum Hinzufügen von neuen Attributen zum Schema siehe auch meinen Beitrag dazu hier im Forum
Erstellen eines neuen Attributes für Benutzerobjekte im Active Directory Schema


Grüße Uwe
Mitglied: Doskias
Doskias 20.01.2022 aktualisiert um 08:07:17 Uhr
Goto Top
Moin

Zitat von @ApoCalyps3:
Als Anfang wollte ich gerne ein Feld "TicketID" anlegen und dieses in der Benutzerliste mit anzeigen. Weitere Felder wären Personalnummer bzw. Personal-ID
Ich weiß nicht was hinter deiner TicketID steht, aber musst du wirklich bei jedem Blick ins AD die Ticketnummer sehen? Wenn nein, gehört sie nicht in die Übersicht. Gleiches gilt bei der Personalnummer. Die brauchst du nicht bei jeder Aktion im AD. Beides interessiert nicht, wenn du zum Beispiel einem User neue Drucker zuordnen möchtest. Und dann bleibt noch die Frage ob jeder Administrator von jedem Mitarbeiter die Personalnummer bzw. Personal-ID wissen darf. Stichwort: Datenschutz. Ich weiß ja nicht wo die überall verwendet wird, aber bei uns gibt es zum Beispiel eine Auswertung für die GF über Fehltage. Diese ist in so fern anonymisiert, dass dort lediglich die ID (Personalnummer) aus der Zeit-Erfassung drin steht. Bei uns kennt (bis auf die Personalverantwortlichen) niemand die Personalnummer, die nicht seine eigene ist. Wenn ich als Admin hingegen Zugriff auf alle Personalnummern könnte ich nachschlagen wer wie viele Tage Krank war und schon hab ich ggf. ein kleines Problem. ;-) face-wink Also immer gut überlegen ob die Daten für den (IT-)Betrieb wirklich relevant sind. Wenn nein haben sie im AD nichts zu suchen.
Außerdem solltest du nicht vergessen: Du kannst die Attribute im AD schnell erweitern, aber nicht so schnell rückgängig machen. Wenn sich dann nach einigen Zeit rausstellt, dass die Attribute doch nicht oder nicht mehr benötigt werden, dann schleppst du die für immer mit dir rum. Es gibt genau eine Möglichkeit einmal hinzugefügte Attribute im AD-Schema wieder zu entfernen und der besteht im Neuaufsetzen der Domäne. Daher sollte der Schritt gut überlegt sein.

Gruß
Doskias
Mitglied: jsysde
jsysde 22.01.2022 um 09:00:05 Uhr
Goto Top
Moin.

Die GUIs in der mmc sind nicht erweiterbar oder wenn, dann nur mit großen Aufwand und Risiko. Bedenke bei deinem Vorhaben, dass das AD für _jeden!_ Domänen-Benutzer vollständig lesbar ist und das auch ohne die Installation von RSAT-Tools. Und natürlich, das einmal vorgenommene Schema-Anpassungen nie wieder rückgängig zu machen sind.

Um deine "erweiterte" Anzeige zu realisieren: PowerShell to the rescue! ;-) face-wink
Lass per PS das AD auslesen, da kannst du die anzuzeigenden Werte akribisch einstellen. Das ganze mit Out-GridView liefert dann genau das, was du sehen möchtest.

Cheers,
jsysde
Mitglied: colinardo
Lösung colinardo 22.01.2022 aktualisiert um 10:28:05 Uhr
Goto Top
Servus @jsysde.
Zitat von @jsysde:
Die GUIs in der mmc sind nicht erweiterbar
Die Aussage ist so nicht korrekt.
Erweitern der Benutzeroberfläche für Verzeichnisobjekte
oder wenn, dann nur mit großen Aufwand und Risiko.
Woran siehst du das Risiko meiner oben genannten offiziellen Methode um die Spaltenauswahl in der ADUC MMC zu erweitern? Das machen wir hier schon seit über 10 Jahren so und haben damit keinerlei Probleme irgendeiner Art und es ist auch entsprechend dokumentiert, siehe: Erweitern der Benutzeroberfläche für Verzeichnisobjekte
Bedenke bei deinem Vorhaben, dass das AD für _jeden!_ Domänen-Benutzer vollständig lesbar ist
Das kann ich ebenfalls so nicht stehen lassen. Natürlich hat auch das AD Zugriff-ACLs und nein auch Benutzer können nicht alles sehen, es gibt durchaus diverse Container und Attribute welche sie nicht sehen können, man denke z.B. nur an Bitlocker Recovery-Keys etc. pp. Der User sieht das was man ihm auch erlaubt. Und der Zugriff auf Attribute lassen sich ja bekanntlich auch mit den ACLs einschränken, das wäre also nicht das Problem. Aber auch hier gilt man sollte sein Handwerk verstehen, aber das gilt ja für vieles ;-) face-wink.
Um deine "erweiterte" Anzeige zu realisieren: PowerShell to the rescue! ;-) face-wink
Viele Wege führen nach Rom :-) face-smile. Wenn er nur in der MMC eine zusätzliche Spalte anzeigen lassen will braucht er ja nur die o.g. Attribute erweitern und kann vortan auch andere Attribute darstellen lassen.
Wenn man dann schon mit Powershell "wedelt" sollte man es zumindest auch mit etwas Code für den TO untermauern wenn er davon nicht so sehr tangiert sein sollte, als Beispiel

Das eine Schemaerweiterung gut geplant und überlegt sein sollte steht natürlich außer Frage.

Schönes Wochenende
Uwe

@ApoCalyps3 : Wenns das dann war, den Beitrag bitte noch auf gelöst setzen, und Lösungen markieren nicht vergessen. Merci.
Mitglied: jsysde
jsysde 22.01.2022 um 12:31:12 Uhr
Goto Top
Mahlzeit.
Zitat von @colinardo:
Woran siehst du das Risiko[...]
Mag jetzt polemisch klingen, aber meine Erfahrungen aus den letzten Jahren zeigen immer wieder, das die korrekte Verwendung eines Tools wie ADSIEdit viele "Administratoren" vor ein unüberwindbares Hindernis stellt. Klar, die können nach ner Anleitung im Netz "was nachklicken", verstehen aber nicht ansatzweise, was sie da tun und warum sie es an dieser Stelle tun müssen. Steinigt mich dafür, aber so ist meine aktuelle Sicht auf die Qualität des IT-Personals... geht nicht gegen jemanden persönlich, ist nur so ne "mit der Gesamtsituation unzufrieden"-Sichtweise...

Das kann ich ebenfalls so nicht stehen lassen. Natürlich hat auch das AD Zugriff-ACLs und nein auch Benutzer können nicht alles sehen[...]
Ja, da hast du natürlich Recht - beim Erweitern von User-Attributen und Nutzung von z.B. CustomAttributes sind diese aber sehr wohl für alle lesbar.

Cheers,
jsysde