Атрибуты диспетчера учетных записей безопасности

Question

Я хотел бы создать пользователя в AD, используя атрибуты, определенные для другого пользователя из того же подразделения. Но у меня есть проблема с элементами, защищенными SAM.

Для этого я создаю экземпляр пользователя, уже определенного в AD, со всеми свойствами. После того, как я использую команду New-AdUser, чтобы создать нового пользователя, используя созданный экземпляр. Однако в свойствах есть элементы, которые управляются диспетчером учетных записей безопасности - я пытался найти, какие параметры принадлежат SAM, но безрезультатно. Может ли кто-нибудь помочь мне определить параметры, которые я могу скопировать на самом деле. Таким образом, я могу определить, какие параметры я хотел бы скопировать из созданного экземпляра.

PS C:\Users\xxx> $userInstance = Get-ADUser $accountIdentifier -properties *
PS C:\Users\xxx> New-ADUser -GivenName "John" -Instance $userInstance -Surname "Smith" -Title "Salesman" -EmailAddress "John.Smith@yahoo.com" -UserPrincipalName smithj@yahoo.com -Name "John Smith"

В качестве результата я получаю следующее сообщение об ошибке:

New-ADUser : Access to the attribute is not permitted because the attribute is owned by the Security Accounts Manager (SAM)

Answer 1

Вы можете использовать следующее, чтобы определить, какие атрибуты могут быть скопированы:

$searchBase = "CN=Schema,$((Get-ADRootDSE).configurationNamingContext)"
$Attributes = Get-ADObject -SearchBase $searchBase -Filter * -Properties searchflags,ldapdisplayname |
    Where-Object {$_.SearchFlags -band 16} | Select ldapdisplayname
$Attributes

Затем вы можете использовать атрибуты, перечисленные в выходных данных, в качестве руководства для того, что вы вводите в параметр -PropertiesNew-ADUser command.

По сути, это проходит через каждый атрибут схемы в AD и возвращает атрибуты, в которых атрибут searchflags имеет включенный 16-ти десятичный бит.В зависимости от вашего дисплея вы можете увидеть это как шестнадцатеричное представление (0x00000010).Вы не можете просто полагаться на значение 16, потому что, если включены другие флаги, это значение изменится, если будут включены другие биты.Десятичные значения для битов суммируются.По этой причине мы используем оператор -band (побитовый и).Вы можете прочитать больше об атрибуте Search-Flags здесь .