Wenn man in Active Directory ein vorhandenes Benutzerobjekt kopiert, dann wird eine Untermenge der verfügbaren Attribute in das neue Objekt übernommen. Wie kann man aber steuern, welche Attribute mit kopiert werden und welche nicht?
Die Antwort ist: Über das Schema. Im AD-Schema ist definiert, welche Attribute beim Kopieren von Objekten über die GUI-Tools mitopiert werden sollen. Ob sich ein Tool, das zur Administration eingesetzt wird, allerdings daran hält, ist Sache des Toolprogrammierers. Der Kopiervorgang wird hier nicht über Active Directory ausgeführt, sondern durch das Administrationsprogramm.
Wer die zu kopierenden Attribute also selbst beeinflussen will, muss das AD-Schema bearbeiten. Achtung: Dies ist ein hochsensibler Vorgang – man sollte wissen, was man tut, und vorher für eine ordentliche Datensicherung sorgen!
Manipulieren der zu kopierenden Attribute
Als Erstes muss man hierfür das Snapin für das „Active Directory Schema“ registrieren. Dies kann man durch die Eingabe von „regsvr32 schmmgmt.dll“ unter "Start" > "Ausführen" erreichen. Danach kann man das „Active Directory Schema Snapin“ in einer MMC nutzen:
Ich möchte anhand des Attributes „logonHours“ demonstrieren, wie das Kopieren eines Attributes verhindert werden kann. Dazu habe ich einen Testbenutzer angelegt, der sich nur zu bestimmten Uhrzeiten anmelden darf. Dieses Attribut wird standardmässig beim Kopiervorgang in das neue Benutzerobjekt übernommen. Durch eine Veränderung der Eigenschaften des Attributs kann man ein Kopieren verhindern.
Flashfilm: Kopieren abschalten
http://faq-o-matic.net/?p=605