我已经碰到了一个高度自定义的Active Directory环境(2003 FL),让我想知道是否有任何特别简单的方法来确定自定义属性的功能是什么,以及什么,如果有的话,“使用”该特定属性.然后,可能会从架构中删除自定义属性的一些好选项.除了恢复或从头开始.如果存在这样的选择.
例如,我认为我可以相当确定具有值为TRUE的“isDumbass”属性是什么意思,但与“IRPextCONST”不同,包含值393684.同样,我认为它应该是非常安全的删除“isDumbass”属性,但希望a)确保b)找出查询或更新该值的内容,因为我怀疑使用该属性的任何内容可能是要删除的事物列表中的下一个.理想情况下,当然,无需对每个自定义脚本和源代码的内容进行搜索,我都可以获得.
最后,除了从头开始重建,或从不存在的备份进行权威的AD还原…有没有办法删除给定的自定义属性? (不是空白的值,但实际上从模式中删除了属性 – 有些人宁愿没有像[编辑]那样的属性.)我已经能够在Windows 2k上找到并成功测试一个方法,但它似乎Microsoft在SP4中禁用了此选项,并且相关域是2003功能级别.
至于查找使用属性的内容,我认为您最好的希望是通过在域控制器GPO的审计配置中启用它来设置目录服务访问事件,以及设置积极的审计ACL以便在整个过程中继承.域名.日志可能会非常嘈杂.
如果可能,2008年新的目录服务审核功能可能对此过程有很大帮助;如果可以的话,获得2008域控制器!
当你准备好摆脱那些模式修改时 – 遗憾的是没有办法真正清除模式修改的所有内存,但是你至少可以暂停它的使用并使它看起来被删除.
您将修改架构中的属性对象,使其isdefunct值为TRUE;这可以通过ADSIEdit或Active Directory架构管理单元完成.有关详细信息,请参阅this documentation中的“从架构中删除信息”部分.
如果你不是100%确定一个属性没有被使用,那么可以试着让它失效;您可以通过将isdefunct设置回FALSE来反转更改(旧值将在重新激活时仍然存在).如果可能的话,首先要沿着审计路径前进,但选项就在那里.
