Это двухэтапный процесс, однако вы делаете это. Во-первых, вам нужно создать атрибут userAccountControl. Затем вам нужно добавить имя userAccountControl в атрибут mayContain класса пользователя.
Вы можете создать атрибут userAccountControl, используя LDIFDE или ADAM Schema Manager. ADAM Schema Manager предоставляет вам графический интерфейс для выполнения этой работы, но имеет ограниченные возможности. LDIFDE - это программа, которую вы запускаете для текстового файла. Хорошая вещь в этом заключается в том, что вы можете запустить LDIFDE для своей установки AD DS, чтобы экспортировать атрибуты атрибута userAccountControl [да, я действительно хотел напечатать это так]. Затем вы можете удалить те, которые вам не нужны (например, помеченные как systemOnly в схеме, для начала), а затем импортировать измененный файл в свой экземпляр AD LDS. Я могу предоставить больше информации, если это поможет.