ADSI Edit: Wie man Active Directory mit ADSI Edit bearbeitet

Tutorials
PowerShell

ADSI Edit: So bearbeiten Sie Active Directory mit ADSI Edit. Zunächst ermöglicht ADSI (Active Directory Service Interface Editor) Edit den Zugriff auf und die Änderung der zugrunde liegenden und unbelichteten Verzeichnisdienstdaten über ADUC (Active Directory-Benutzer und Computer). In diesem Artikel diskutieren wir die Verwendung von ADSI Edit, einschließlich des Zugriffs auf das Tool, der primären Navigation und der täglichen Anwendungsfälle zur Änderung von Active Directory-Objekten und Attributen. Ob wir erfahrene Systemadministratoren sind oder gerade erst anfangen, zu verstehen, wie man ADSI Edit verwendet, hilft, die Fähigkeiten im Active Directory-Management auf die nächste Stufe zu bringen. Weiterlesen So richten Sie Richtlinien für aktive Verzeichniskennwörter ein und verwalten sieADSI: So bearbeiten Sie Active Directory mit ADSI Edit

Lesen Sie auchSo richten Sie und verwalten Sie die Active Directory-Kennwortrichtlinie ein

ADSI: So bearbeiten Sie Active Directory mit dem ADSI Edit-Tool

Zweitens ist das ADSI (Active Directory Service Interface Editor) Edit Tool ein MMC-Snap-in. Wir verwenden Active Directory Service-Schnittstellen, um eine Verbindung mit anderen Active Directory-Datenbankpartitionen (NTDS.dit) oder dem LDAP-Server herzustellen. Das ADSI Edit-Tool ermöglicht es uns auch, Attribute zu bearbeiten, Suchvorgänge durchzuführen und in Active Directory Elemente zu erstellen, zu ändern und zu löschen.

Lesen Sie auchÜberprüfen Sie unser Tool zur Anzeige von direkten Berichten in Active Directory (InfraSOS)

Voraussetzungen

Wichtig ist, dass die aktuellen Windows-Versionen das ADSIEdit.msc in den Remote Server-Verwaltungstools (RSAT) enthalten. Das ADSI-Tool ist Teil des ADDS-Snap-ins und der Befehlszeilen-Tools. Schaut euch diesen Artikel an, um Anweisungen zum Installieren von RSAT und weitere Informationen zu erhalten.

Daher, nachdem die Funktion installiert wurde, drückt Win+R um das Ausführungsfenster aufzurufen und adsiedit.msc einzugeben, um ADSI Edit zu öffnen. Alternativ greifen wir auf Verwaltungstools unter dem System- und Sicherheitsbereich des Kontrollpanels zu.

Hinweis: Das ADSI Edit-Snap-in in der AD-Bearbeitungsfunktionalität ähnelt dem Windows-Registrierungs-Editor. Daher können wir einige Windows-Einstellungen nicht mithilfe von Gruppenrichtlinien oder der grafischen Benutzeroberfläche ändern. Aus diesem Grund muss der Administrator gelegentlich direkt in die Windows-Registrierung ändern, um ein komplexes Problem zu beheben.

Weiterlesen Get-MgUser – Azure AD-Benutzer finden und mithilfe eines PowerShell-Skripts filtern

Übersicht über das ADSI-Tool

Ähnlich benötigen wir mehr Werkzeuge, um komplexe Active Directory-Probleme zu lösen, als nur die Benutzer und Computer Snap-In oder PowerShell Cmdlets. Zum Beispiel können wir über ADSI Edit direkt die AD-Datenbank ändern. ADSI Edit geht jedoch über alle Standard-AD-Sicherheitsmaßnahmen hinaus. Dieser Prozess bedeutet, dass das Verwenden von adsiedit.msc zur Ausführung fehlerhafter AD-Änderungen das Risiko birgt, unsere AD-Datenbank zu beschädigen oder zu löschen. Daher raten wir, Active Directory vorzubacken, bevor wir dieses Tool verwenden.

Um zu beginnen, klicken Sie mit der rechten Maustaste auf das ADSI-Tool und wählen Sie Verbinden. Wir wählen eine entfernte Maschine mit einer LDAP-Datenbank oder einen Verbindungspunkt, Naming Context, aus diesem Menü. Wenn wir den genauen Verbindungspunkt Distinguished Name oder Naming Contexts nicht kennen, wählen wir einen der bekannten Naming Contexts:

  • Standard-Namensbezeichnung
  • Konfiguration
  • RootDSE
  • Schema

Wir müssen die Option SSL-basierte Verschlüsselung verwenden auswählen, wenn unser LDAP-Server (oder Domänencontroller) ein SSL-Zertifikat hat, um das LDAPS-Protokoll zu verwenden.


Wählen Sie zusätzlich den Standard-Namenskontext aus, um die ADUC-ähnliche AD-Ansicht zu öffnen, und klicken Sie auf OK. Im linken Bereich wird jetzt eine brandneue Stammpartition angezeigt, die wir erweitern können. Wie wir sehen, zeigt die ADSI-Edit-Konsole in dieser Mode den hierarchischen Baumansicht aller Container und Active Directory OUs in AD.

Denken Sie daran, dass nach dem Klicken auf das Knotenelement nur der Standard-Namenskontext und die verschiedenen Ebenen der Hierarchie in ADSI Edit sichtbar sind. Darüber hinaus gibt es konsolenbasierte AD-Dienstcontainer, die wir verbergen und die ADUC standardmäßig nicht anzeigen kann. In der AD-Hierarchie können wir beispielsweise jedes Objekt (Computer, Benutzer, Gruppen) auswählen, ändern, verschieben, entfernen und umbenennen.

Zum Veranschaulichen gehen wir zu dem OU mit Benutzern, wählen einen Benutzer aus und zeigen ein Kontextmenü mit einer Liste der verfügbaren Aktionen. Wie wir sehen, setzen wir das Active Directory Benutzerpasswort zurück, zusätzlich zu den üblichen Aktivitäten mit einem AD-Objekt (Verschieben, Erstellen, Löschen, Umbenennen). Darüber hinaus bemerken Sie, dass die DN (Distinguished Name) und CN (Canonical Name) angezeigt werden, anstatt der Objektname.

Gehen Sie zum gewünschten Objekt und öffnen Sie die Eigenschaften des erforderlichen Active Directory-Objekts, um Objekteigenschaften mithilfe von ADSI Edit zu bearbeiten.

Verbessern Sie Ihre Active Directory-Sicherheit & Azure AD

Testen Sie uns aus für Kostenlos, Zugang zu allen Funktionen. – 200+ AD-Berichtsvorlagen verfügbar. Erstellen Sie ganz einfach Ihre eigenen AD-Berichte.




Lesen Sie auch Get-ADUser Filter OU – Listen Sie Benutzer aus einem bestimmten OU

Bedeutung von ADSI

Hier sind einige Gründe, warum wir ADSI benötigen:

  1. Tiefere Zugang und Kontrolle: Während das Active Directory Benutzer und Computer (ADUC) Tool eine benutzerfreundliche Oberfläche bietet, um Active Directory zu verwalten, bietet es nur Zugang zu einigen notwendigen Funktionalitäten.
  2. Automatisierung: Wir verwenden ADSI, um alltägliche Verwaltungsaufgaben zu automatisieren, wie z.B. das Erstellen und Löschen von Benutzerkonten, das Zurücksetzen von Passwörtern und das Ändern von Gruppenmitgliedschaften. Dieser Prozess ist kosteneffizient, spart Zeit und reduziert die Wahrscheinlichkeit von menschlichen Fehlern, die durch manuelles Dateneingeben verursacht werden.
  3. Skripting: ADSI wird mit Skriptsprachen wie VBScript und PowerShell verwendet, um wiederkehrende Aufgaben zu automatisieren oder komplexe Operationen durchzuführen. Dieser Prozess erleichtert die Verwaltung großer Active Directory Umgebungen mit vielen Objekten.
  4. Integration: ADSI integriert Active Directory mit anderen Verzeichnisdiensten oder Anwendungen, wie z.B. LDAP-Verzeichnissen, DNS-Servern und Exchange-Server. Dieser Prozess hilft Organisationen, eine bessere Interoperabilität zu erreichen und ihre IT-Infrastruktur zu optimieren.

Lesen Sie auch Erstellen von Active Directory-Computerberichten mit PowerShell

Anzeigen und Bearbeiten von ADSI-Attributen

Der Registerkarte „Attribut-Editor“ in AD ermöglicht es uns, die Eigenschaften von Benutzern zu prüfen oder zu ändern. Standardmäßig zeigt die ADSI-Editor-Konsole, abhängig von der Objektklasse, alle Attribute, die das Objekt im Active Directory besitzt. In ADSI Edit werden sogar Attribute eines Objekts angezeigt, die nicht im ADUC-Interface erscheinen.

Mit dem Wert „nicht gesetzt“ zeigen wir sowohl ausgefüllte als auch leere Attribute. Mit dem Filter-Button können wir auswählen, wie die Objekteigenschaften angezeigt werden sollen.

Folgende Filteroptionen stehen zur Verfügung:

  • Nur Attribute anzeigen, die Werte haben – Diese Option blendet alle Attribute mit leeren Werten aus, wenn sie aktiviert ist;
  • Nur schreibbare Attribute anzeigen – Zeigt nur die Attribute an, die wir bearbeiten können;
  • Pflichtattribute anzeigen;
  • Optionale Attribute anzeigen;
  • Nur lesbare Attribute anzeigen (Konstruiert, Rückverweise oder System nur).
Hinweis:

Die Registerkarte „Attribut-Editor“ im ADUC-Konsole-Benutzer-Eigenschaften ist ähnlich wie diese Registerkarte.

Danach ändern wir ein beliebiges Attribut, indem wir es doppelt anklicken, einen neuen Wert eingeben und die Änderungen speichern.

Bitte beachten Sie, dass es verschiedene Datentypen unter den Eigenschaften von Objekten gibt (Integer, String, MultiString, Time, etc.). Zum Beispiel zeigt AD die Werte der zeit- und datumsbezogenen Eigenschaften im ADSI-Objektattribut-Editor-Konsole in ihrer üblichen Form an. Wir sehen, dass sie immer noch im Active Directory-Datenbank in Timestamp-Format gespeichert sind, wenn wir versuchen, sie zu ändern.


Als nächstes konfigurieren wir AD-Einstellungen mit ADSI Edit, die wir auf keine andere Weise konfigurieren können. Zum Beispiel fügt jeder Domänen-Benutzer bis zu 10 Computerkonten zur Domäne hinzu (auch ohne Domain Admin-Rechte). Das LDAP-Attribut ms-DS-MachineAccountQuota, das wir nur mit ADSI Edit ändern können, dient als Definition dafür (in den Domäneneigenschaften).


Danach untersuchen wir einige Beispiele von Aktivitäten, die wir mit der ADSIEdit-Konsole durchführen.

Lesen Sie auch Get-MgUserMemberOf – List Group Memberships of Azure AD User PowerShell

OU in Active Directory ausblenden.

Zum Beispiel können wir das ADUC Snap-In verwenden, um eine OU (eine der AD-Container) zu verstecken. Öffnen Sie dann die Eigenschaften der OU und ändern Sie das Attribut von „False“ (oder „Not Set“) in „True“. Um die neueste Version des AD-Schemas mit ADSI Edit zu überprüfen:

  1. Wählen Sie Schema als bekannte Namensaufnahme;
  2. Erweitern Sie Schema, klicken Sie mit der rechten Maustaste auf das Schema;
  3. Überprüfen Sie den objectVersion Wert

4. Der Wert entspricht der AD-Schemaversion in Windows Server 2012 R2.

Wir können ADSI nicht nur im GUI verwalten, sondern auch programmgesteuert in PowerShell darauf zugreifen, worüber wir im nächsten Abschnitt diskutieren.

Auch lesen Sie DCDiag: Wie man die Gesundheit des Domänencontrollers mit Powershell überprüft

Verwalten Sie AD mit dem ADSI-Adapter für PowerShell

Wir verwenden den ADSI-Adapter in PowerShell, um eine Verbindung zu einem LDAP-AD herzustellen. Obwohl es bessere Möglichkeiten gibt, AD zu verwalten (als das PowerShell Active Directory Modul), gibt es Situationen, in denen wir es verwenden müssen, z.B. über externe Tools oder Anmeldescripts. Wir müssen den LDAP-Pfad zu einem AD-Objekt angeben, um Informationen darüber über die ADSI-Schnittstelle zu erhalten:

[ADSI]'LDAP://CN=DC01,OU=Domain Controllers,DC=infrasos,DC=com'

Liste alle Objekteigenschaften auf:

[ADSI]'LDAP://CN=DC01,OU=Domain Controllers,DC=infrasos,DC=com' | Format-List *

Wir erhalten den Wert einer bestimmten Objekteigenschaft:

[ADSI]"LDAP://DC=infrasos,DC=com" | Format-List ms-DS-MachineAccountQuota

Wir verwenden LDAP-Suchfilter, um Objekte in AD über ADSI zu finden:

([ADSISearcher]'(&(objectCategory=computer)(operatingSystem=Windows Server 2019*)(primaryGroupID=516))').FindAll()

Benutzer finden, bei denen „Passwort läuft nie ab“ aktiviert ist:

([ADSISearcher]'(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=66048))').FindAll()

Die ADSI-Schnittstelle ermöglicht es uns auch, AD-Objekte zu ändern und zu erstellen:

$TargetOU = [adsi]'LDAP://DC=infrasos,DC=com'
$NewOU =$TargetOU.Create('organizationalUnit','ou=NewYork')
$NewOU.SetInfo()

Lesen Sie auch Abrufen von Mitgliedern eines Active Directory-Gruppe und Exportieren in CSV mit PowerShell

ADSI Edit: So bearbeiten Sie das Active Directory mit ADSI Edit Schlussfolgerung

Zusammenfassend ist ADSI Edit ein leistungsfähiges Tool, das Systemadministratoren tiefere Zugangsmöglichkeiten und Kontrolle über Active Directory Objekte und Attribute bietet. Während ADUC eine benutzerfreundliche Oberfläche zur Verwaltung von Active Directory bietet, bietet es nicht immer den Zugang zu allen notwendigen Funktionalitäten. Mit ADSI Edit können Administratoren niedrigere Änderungen an Objekten und Attributen vornehmen, die im Allgemeinen unsichtbar sind, und so fortgeschrittene Fehlerbehebung und Behebung komplexer Probleme ermöglichen.

Source:
https://infrasos.com/adsi-edit-how-to-edit-active-directory-using-adsi-edit/