Systemflags

manage-intruder-lockout

Результат постраничного запроса к контексту именования схемы AD Windows Server 2003 с применением фильтра, показанного на экране 1, содержит 1007 атрибутов категории 1 . В Windows Server 2003 R2 число атрибутов категории 1 в AD не увеличилось. Результаты выполнения этого запроса говорят о том, что многие потенциальные кандидаты в конфиденциальные атрибуты AD принадлежат категории 1 и поэтому не могут применяться в комбинации с разрядом конфиденциальности. Сюда относятся атрибуты, перечисленные в таблице. Изменим запрос LDAP так, чтобы выводились только атрибуты, не относящиеся к категории 1 (то есть без включенного разряда 4 systemFlags). Это можно сделать путем добавления к фильтру отрицания NOT: (& (objectCategory=attributeSchema)
(! (systemFlags:1.2.840.113556.1.4.803:=16)))
В случае Windows Server 2003 результат запроса включает 63 атрибута, а в случае Windows Server 2003 R2 — 144 атрибута, каждый из которых можно применять с разрядом конфиденциальности. Для Windows Server 2012 запрос возвращает 164 атрибута. В таблице 2 приведены только те атрибуты в лесу AD Windows Server 2003, которые могут использоваться с объектом класса пользователя, что сводит их число к 25.
Нет смысла спрашивать, почему именно эти атрибуты были выбраны в качестве атрибутов базовой схемы. По сути, предполагалось ограничить применение конфиденциальных данных пользовательскими расширениями AD, такими как атрибут, содержащий номер социального страхования сотрудника, не являющийся частью стандартной схемы.
Однако некоторым компаниям может потребоваться, скажем, хранить в AD идентификаторы сотрудников (employeelD) и сделать атрибут, хранящий эти данные, конфиденциальным, чтобы только авторизованные пользователи могли его читать и редактировать. В этом случае организация может предпочесть для хранения этих данных вместо атрибута employeelD использовать атрибут employeeN umber, который не принадлежит категории 1 и поэтому может быть настроен как конфиденциальный. Поскольку свойство searchFlag атрибута employeeNumber пусто, достаточно записать в него значение 128, как показано на экране. Если свойство search Flags не пусто, то число добавляется к существующему. Свойство search Flags определяет различные характеристики атрибута, в частности, индексирован ли он (разряд 1) или остается при пометке объекта на удаление (разряд 3). Подробнее о searchFlags рассказано в статье Microsoft «Search — Flags Attribute (Windows) (http://msdn.microsoft.com/en — us/ library/windows/desktop/ms679765 (v=vs.85).aspx).