محرر ADSI: كيفية تحرير Active Directory باستخدام ADSI Edit

الدروس التعليمية
PowerShell

تحرير ADSI: كيفية تحرير Active Directory باستخدام ADSI Edit. أولاً، يتيح تحرير ADSI (محرر واجهة خدمة دليل Active Directory) الوصول وتعديل البيانات الأساسية وغير المكشوفة من خلال خدمة الدليل عبر ADUC (Active Directory Users وComputers). في هذا المقال، نناقش استخدام تحرير ADSI، بما في ذلك كيفية الوصول إلى الأداة، والتنقل الأساسي، وحالات الاستخدام اليومية لإجراء تغييرات على كائنات وسمات Active Directory. سواء كنا مسؤولي نظام مخضرمين أو مبتدئين فقط، فإن فهم كيفية استخدام تحرير ADSI يساعد في رفع مهارات إدارة Active Directory إلى المستوى التالي. اقرأ أيضًا كيفية إعداد وإدارة سياسة كلمة مرور Active DirectoryADSI: كيفية تحرير Active Directory باستخدام تحرير ADSI.

اقرأ أيضًا كيفية إعداد وإدارة سياسة كلمة المرور في Active Directory

ADSI: كيفية تعديل Active Directory باستخدام أداة محرر ADSI

ثانياً، أداة محرر ADSI (واجهة تحرير خدمات Active Directory) هي ملحق MMC. نستخدم Active Directory واجهات خدمة توصيل إلى قسم أخر من قاعدة البيانات Active Directory (NTDS.dit) أو خادم LDAP. أداة محرر ADSI تمكننا أيضًا من تعديل السمات، إجراء البحث، وإنشاء، تعديل، وحذف العناصر في Active Directory.

اقرأ أيضًا تحقق من أداة أبحاث Active Directory المباشرة لدينا (InfraSOS)

المتطلبات الأساسية

من المهم أن تشمل الإصدارات الحالية من Windows ADSIEdit.msc في أدوات إدارة الخادم البعيد (RSAT). أداة المجال هي جزء من حزم ADDS Snap-ins و أوامر السطر. تحقق من هذا المقال للحصول على تعليمات تثبيت RSAT ومعلومات أكثر.

لذلك، بعد تثبيت الميزة، اضغط على Win+R لتقديم نافذة التشغيل واكتب adsiedit.msc لفتح تحرير ADSI. وبدلاً من ذلك، نذهب إلى أدوات الإدارة تحت قسم التحكم في النظام والأمان في لوحة التحكم.

ملاحظة: إذا أردنا تعديل بعض الإعدادات الخاصة بـ نظام التشغيل Windows، فقد لا يكون بإمكاننا القيام بذلك باستخدام سياقات السير الجماعي أو واجهة المستخدم الرسومية. ونتيجة لذلك، قد يحتاج المسؤول أحيانًا إلى تعديل موجه نظام التشغيل Windows مباشرة لحل مشكلة معقدة.

اقرأ أيضًا Get-MgUser – ابحث عن مستخدمي Azure AD وفلترهم باستخدام سكربت PowerShell

نظرة عامة حول أداة محرك ADSI

بشكل مشابه، يلزم استخدام أدوات إضافية لحل مشاكل الـActive Directory المعقدة أكثر من مجرد سحب الـمستخدمين وأجهزة أو أوامر PowerShell. على سبيل المثال، من خلال ADSI Edit، نقوم بتعديل قاعدة البيانات AD مباشرة. ولكن ADSI Edit يتجاوز جميع الإجراءات الأمنية القياسية للـAD. وبالتالي، يعني هذا العملية أنه عند استخدام adsiedit.msc لإجراء تعديلات AD غير صحيحة، نحن نخاطر بتدمير أو حذف قاعدة بيانات الـAD. ولذلك، نوصي بـنسخ نقص الـActive Directory قبل استخدام هذه الأداة بسبب ذلك.

للبدء، انقر بزر الماوس الأيمن على أداة الـADSI وحدد الاتصال. نختار جهاز بعيد بقاعدة بيانات LDAP أو نقطة الاتصال، المفتاح الفريد للاتصال، من هذه القائمة. إذا لم نكن نعرف المفتاح الفريد الدقيق لنقطة الاتصال أو المفتاح الفريد للاتصال، نختار إحدى المفاتيح الفريدة للاتصال المعروفة:

  • المفتاح الفريد الافتراضي للاتصال
  • التكوين
  • RootDSE
  • المخطط

يجب علينا تحديد خيار استخدام تشفير SSL إذا كان خادم LDAP لدينا (أوتحكم المجال) يمتلكشهادة SSL لاستخدام بروتوكول LDAPS.

بالإضافة إلى ذلك، يرجى اختيار المحتوى الاسمي الافتراضي لفتح نظرة ADUC مثل AD واضغط على موافق. يظهر النافذة اليسرى الآن قسمًا جديدًا بتصليح الجذر الذي يمكننا توسيعه. كما نرى، يظهر المحطة النهائية لتحرير ADSI في هذه الوضعية نظرة شجرية متسلسلة لجميع الحاويات ومجموعات الوصول النشطOU في AD.

تذكر أنه بعد النقر على العقدة، يصبح المحتوى الاسمي الافتراضي ومستويات التسلسل الهرمي في تحرير ADSI مرئية فقط. علاوة على ذلك، هناك حاويات خدمة مجال التحكم الأساسية التي نخفيها والتي لا يمكن أن تظهرها ADUC افتراضيًا. في تسلسل المجال، على سبيل المثال، نقوم بتحديد وتعديل ونقل وحذف وتغيير اسم أي كائنات (أجهزة، مستخدمين،مجموعات).

للتوضيح، سنذهب إلى OU مع المستخدمين، نختار مستخدمًا، ونعرض لائحة بمهام القائمة المتاحة. كما نرى، قمنا بإعادة تعيين كلمة المرور النشطة للمستخدم Active Directory بالإضافة إلى الأنشطة المعتادة مع كائن AD (تحريك، إنشاء، حذف، إعادة التسمية). علاوة على ذلك، لاحظ أن DN (الاسم المميز) و CN (الاسم المطلق) معروضان بدلاً من اسم الكائن.


انتقل إلى الكائن المطلوب وافتح خصائص الكائن المطلوب في Active Directory لتعديل خصائص الكائن باستخدام ADSI Edit.

تحسين أمان Active Directory & Azure AD

جربنا مجانًا ، والوصول إلى جميع الميزات. – 200+ قوالب تقارير AD متاحة. قم بتخصيص تقارير AD الخاصة بك بسهولة.




كما يمكنك قراءة Get-ADUser Filter OU – قائمة المستخدمين من OU معين

أهمية ADSI

إليك بعض الأسباب التي تجعلنا بحاجة إلى ADSI:

  1. الوصول والتحكم الأعمق: على الرغم من أن أداة مجموعة المستخدمين والكمبيوترات النشطة (المستخدمين) والكمبيوترات (ADUC) توفر واجهة مستخدم صديقة لإدارة مجموعة المستخدمين النشطة، إلا أنها توفر الوصول فقط إلى بعض الوظائف الضرورية.
  2. الأتمتة: نستخدم ADSI لأتمتة المهام الإدارية اليومية، مثل إنشاء وحذف حسابات المستخدمين، إعادة تعيين كلمات السر، وتعديل اشتراكات المجموعات. هذه العملية اقتصادية، توفر الوقت وتقلل من احتمالية الأخطاء البشرية الناتجة عن الإدخال اليدوي للبيانات.
  3. البرمجة: يتم استخدام ADSI مع لغات البرمجة النصية مثل VBScript و PowerShell لأتمتة المهام المتكررة أو إجراء عمليات معقدة. هذه العملية تجعل من الأسهل إدارة مناخات Active Directory الكبيرة مع العديد من الكائنات.
  4. التكامل: يتكامل ADSI مع Active Directory مع خدمات الدليل الأخرى أو التطبيقات، مثل الدليل LDAP، خوادم DNS، و خادم Exchange. هذه العملية تساعد المؤسسات على تحقيق توافق أفضل وتحسين بنيتها التكنولوجية.

اقرأ أيضًا إنشاء تقارير الكمبيوتر Active Directory باستخدام PowerShell

عرض وتحرير سمات ADSI

علامة التحرير السمة في AD تسمح لنا بفحص أو تعديل أي خصائص المستخدم. وفقًا لفئة الكائن، يظهر وحدة ADSI المحررة لوحة التحكم، بشكل افتراضي، كل سمة يمتلكها الكائن في Active Directory. في تحرير ADSI، حتى السمات الخاصة بكائن لا تظهر في واجهة ADUC.

بالقيمة “غير معينة”، نظهر كل من السمات المليئة والفارغة. زر الفلتر يسمح لنا باختيار كيفية عرض خصائص الكائن.

تتوفر الخيارات التالية للفلتر:

  • إظهار السمات التي لها قيم فقط – يخفي هذا الخيار جميع السمات ذات القيم الفارغة عند تمكينه؛
  • إظهار السمات القابلة للكتابة فقط – يعرض فقط تلك السمات التي يمكننا تحريرها;
  • إظهار السمات الإلزامية ;
  • إظهار السمات الاختيارية ;
  • إظهار السمات القراءة فقط (المُنشأة، الارتباطات العكسية، أو النظام فقط).

ملاحظة:

علامة تحرير السمة في واجهة ADUC لخصائص المستخدم مشابهة لهذه العلامة.


بعد ذلك، نقوم بتغيير أي سمة عن طريق النقر مزدوجًا عليها، إدخال قيمة جديدة، ثم حفظ التغييرات.

يُنبأ بأن هناك عدة أنواع بيانات بين خصائص الكائنات (عدد صحيح، سلسلة، سلسلة متعددة، وقت، إلخ). على سبيل المثال، AD يُظهر قيم الخصائص المتعلقة بالوقت/التاريخ في وحدة تحكم خاصية كائن ADSI بشكلها التقليدي. نرى أنها لا تزال مخزنة في قاعدة البيانات النشطة الدليل بتنسيق تاريخ ووقت إذا حاولنا تعديلها.

بعد ذلك، نقوم بتكوين إعدادات AD باستخدام محرر ADSI التي لا يمكننا تكوينها بأي طريقة أخرى. على سبيل المثال، أي مستخدم مجال يضيف ما يصل إلى 10 حسابات جهاز للمجال (حتى بدون حقوق مدير المجال). السمة المفتوحة من خلال LDAP مل-DS-MachineAccountQuota، التي يمكننا تعديلها فقط باستخدام محرر ADSI، تُعتبر تعريفنا لهذا (في خصائص المجال).

بعد ذلك، ندرس بعض الأمثلة على الأنشطة التي نقوم بها باستخدام وحدة تحكم ADSIEdit.

اقرأ أيضًا Get-MgUserMemberOf – قائمة عضويات المجموعات لمستخدم Azure AD PowerShell

إخفاء OU في Active Directory

على سبيل المثال، يمكننا استخدام ملحق ADUC لإخفاء OU (واحدة من حاويات AD). ثم، فتح خصائص OU وتغيير السمة من False (أو Not Set) إلى True. للتحقق من أحدث إصدار من مخطط AD باستخدام تحرير ADSI:

  1. حدد Schema كمعرفة سمة Naming Context المعروفة;
  2. توسيع Schema، انقر بزر الماوس الأيمن على المخطط;
  3. تحقق من objectVersion قيمة

4. تتوافق القيمة مع AD Schema version في Windows Server 2012 R2.

لا يمكننا فقط إدارة ADSI في واجهة المستخدم الرسومية ولكن أيضاً الاقتراب منهم برمجياً في PowerShell، والذي نناقشه في القسم التالي.

أيضًا اقرأ DCDiag: كيفية التحقق من صحة مراقب وحدة التحكم باستخدام Powershell

إدارة AD باستخدام محول ADSI لـ PowerShell

نستخدم محول ADSI في PowerShell لإنشاء اتصال بـ AD LDAP. على الرغم من وجود طرق أفضل لإدارة AD (بدلاً من وحدة التحكم بـ Active Directory في PowerShell) ، إلا أن هناك مناسبات يجب علينا فيها استخدامها ، مثل عبر الأدوات الخارجية أو النصوص المسجلة. يجب علينا تحديد المسار LDAP إلى كائن AD للحصول على معلومات حوله باستخدام واجهة ADSI:

[ADSI]'LDAP://CN=DC01,OU=Domain Controllers,DC=infrasos,DC=com'

قائمة جميع سمات الكائن:

[ADSI]'LDAP://CN=DC01,OU=Domain Controllers,DC=infrasos,DC=com' | Format-List *

نحصل على قيمة سمة محددة لكائن:

[ADSI]"LDAP://DC=infrasos,DC=com" | Format-List ms-DS-MachineAccountQuota

نستخدم عوامل بحث LDAP للعثور على كائنات في AD عبر ADSI:

([ADSISearcher]'(&(objectCategory=computer)(operatingSystem=Windows Server 2019*)(primaryGroupID=516))').FindAll()

العثور على المستخدمين الذين تم تعيين “كلمة المرور لا تنتهي أبدًا” لهم:

([ADSISearcher]'(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=66048))').FindAll()

تتيح لنا واجهة ADSI أيضًا تعديل وإنشاء كائنات AD:

$TargetOU = [adsi]'LDAP://DC=infrasos,DC=com'
$NewOU =$TargetOU.Create('organizationalUnit','ou=NewYork')
$NewOU.SetInfo()

اقرأ أيضًا الحصول على أعضاء مجموعة Active Directory وتصديرهم إلى CSV باستخدام PowerShell

ADSI Edit: كيفية تحرير Active Directory باستخدام ADSI Edit الاستنتاج

في الختام، يعد ADSI Edit أداة قوية تمنح مسؤولي النظام وصولًا أعمق وتحكمًا أكبر في Active Directory الكائنات والسمات. بينما يوفر ADUC واجهة سهلة الاستخدام لإدارة Active Directory، قد لا توفر في بعض الأحيان الوصول إلى جميع الوظائف الضرورية. من خلال ADSI Edit، يقوم المسؤولون بإجراء تغييرات على مستوى منخفض على الكائنات والسمات التي عادة ما تكون غير مرئية، مما يسمح بإجراء عمليات استكشاف أعطال متقدمة وإصلاح المشاكل المعقدة.

Source:
https://infrasos.com/adsi-edit-how-to-edit-active-directory-using-adsi-edit/