ADSI Edit: Cómo editar Active Directory usando ADSI Edit

Tutoriales
PowerShell

ADSI Edit: Cómo editar Active Directory utilizando ADSI Edit. En primer lugar, ADSI (Editor de la Interfaz de Servicio de Directorio Activo) permite acceder y modificar los datos subyacentes y no expuestos del servicio de directorio a través de ADUC (Usuarios y Equipos de Directorio Activo). En este artículo, discutimos el uso de ADSI Edit, incluyendo cómo acceder a la herramienta, navegación principal y casos de uso cotidianos para realizar cambios en los objetos y atributos de Directorio Activo. Ya sea que seamos administradores de sistemas experimentados o recién estemos comenzando, entender cómo utilizar ADSI Edit ayuda a llevar las habilidades de gestión de Directorio Activo al siguiente nivel.También lee Cómo Configurar y Gestionar la Política de Contraseña de Active DirectoryADSI: Cómo editar Active Directory utilizando ADSI Edit

También lea Cómo configurar y administrar la política de contraseñas de Active Directory

ADSI: Cómo editar Active Directory utilizando ADSI Edit

En segundo lugar, la herramienta ADSI (Active Directory Service Interface Editor) Edit es una extensión de MMC. Utilizamos las Interfaces de Servicio de Active Directory para conectarnos a otras particiones de la base de datos de Active Directory (NTDS.dit) o al servidor LDAP. La herramienta ADSI Edit también nos permite editar atributos, realizar búsquedas y crear, modificar y eliminar elementos en Active Directory.

También lea Compruebe nuestra herramienta de informes directos de Active Directory (InfraSOS)

Requisitos previos

Es importante destacar que las versiones actuales de Windows incluyen ADSIEdit.msc en las Herramientas de Administración del Servidor Remoto (RSAT). La herramienta ADSI es parte del paquete de complementos ADDS y Herramientas de Línea de Comandos. Echa un vistazo a este artículo para obtener instrucciones sobre cómo instalar RSAT y más información.

Por lo tanto, después de instalar la función, presiona Win+R para abrir la ventana Ejecutar y escribe adsiedit.msc para abrir la edición de ADSI. Alternativamente, accedemos a Herramientas de Administración en la sección Sistema y Seguridad del Panel de Control.

Nota: La herramienta ADSI Edit en la edición de AD se asemeja al editor de registro de Windows. Por lo tanto, no podemos modificar ciertos ajustes de Windows utilizando Políticas de Grupo o la interfaz gráfica de usuario. Como resultado, el administrador a veces necesita realizar cambios directamente en el registro de Windows para resolver un problema complicado.

También lea Get-MgUser – Encuentre usuarios de Azure AD y filtre mediante el script de PowerShell

Descripción general de la herramienta ADSI

De manera similar, se requieren más herramientas para resolver problemas complejos de Active Directory que solo el complemento Usuarios y Equipos o los cmdlets de PowerShell. Por ejemplo, mediante ADSI Edit, alteramos directamente la base de datos de AD. Pero ADSI Edit, va más allá de todas las medidas de seguridad estándar de AD. En consecuencia, este proceso significa que al utilizar adsiedit.msc para realizar modificaciones erróneas en AD, corremos el riesgo de dañar o borrar nuestra base de datos de AD. Por lo tanto, recomendamos hacer una copia de seguridad de Active Directory antes de usar esta herramienta debido a esto.

Para comenzar, haga clic con el botón derecho en la herramienta ADSI y seleccione Conectar. Seleccionamos una máquina remota con una base de datos LDAP o un Punto de Conexión, Nomenclatura de Contexto, de este menú. Si no conocemos el Nombre Distinguido exacto del Punto de Conexión o los Contextos de Nomenclatura, seleccionamos uno de los Contextos de Nomenclatura conocidos:

  • Contexto de nomenclatura predeterminado
  • Configuración
  • RootDSE
  • Esquema

Debemos seleccionar la opción Uso de Cifrado Basado en SSL si nuestro servidor LDAP (o controlador de dominio) tiene un certificado SSL para utilizar el protocolo LDAPS.


Además, elija el contexto de nomenclatura predeterminado para abrir la vista de AD similar a ADUC y presione Aceptar. La ventana izquierda ahora muestra una nueva partición raíz que podemos extender. Como vemos, la terminal de edición de ADSI en este modo muestra la vista en árbol jerárquico de todos los contenedores y objetos de Active Directory OU en AD.

Recuerde que después de hacer clic en el nodo, el Contexto de Nomenclatura Predeterminado y los diferentes niveles de jerarquía en la edición de ADSI solo son visibles. Además, hay contenedores de servicios de AD basados en consola que ocultamos y que ADUC, por defecto, no puede mostrar. En la jerarquía de AD, por ejemplo, seleccionamos, modificamos, movemos, eliminamos y renombramos cualquier objeto (computadoras, usuarios, grupos).

Para ilustrar, iremos ao OU com usuários, escolheremos um usuário e mostraremos um menu de contexto com uma lista de ações disponíveis. Como vemos, redefinimos a senha do usuário Active Directory além das atividades usuais com um objeto AD (Mover, Criar, Excluir, Renomear). Além disso, observe que o DN (Nome Distinto) e o CN (Nome Canônico) são mostrados em vez do nome do objeto.

Vá para o objeto desejado e abra as propriedades do objeto Active Directory necessário para editar as propriedades do objeto usando ADSI Edit.

Melhore sua Segurança do Active Directory & Azure AD

Experimente-nos de graça, Acesso a todos os recursos. – 200+ modelos de relatórios AD disponíveis. Personalize facilmente seus próprios relatórios AD.




Leia também Get-ADUser Filter OU – Liste os usuários de um OU específico

Importância do ADSI

Aqui estão algumas razões pelas quais precisamos do ADSI:

  1. Acceso y Control Más Profundo: Aunque la herramienta Active Directory Usuarios y Computadoras (ADUC) proporciona una interfaz amigable para administrar Active Directory, solo ofrece acceso a algunas funcionalidades necesarias.
  2. Automatización: Utilizamos ADSI para automatizar las tareas administrativas cotidianas, como la creación y eliminación de cuentas de usuario, reinicio de contraseñas y modificación de las pertenencias a grupos. Este proceso es rentable, ahorra tiempo y reduce la probabilidad de errores humanos causados por la entrada de datos manual.
  3. Scripting: ADSI se utiliza con lenguajes de scripting como VBScript y PowerShell para automatizar tareas repetitivas o realizar operaciones complejas. Este proceso facilita la administración de grandes entornos de Active Directory con muchos objetos.
  4. Integración: ADSI integra Active Directory con otros servicios de directorio o aplicaciones, como directorios LDAP, servidores DNS y Exchange Server. Este proceso ayuda a las organizaciones a lograr una mejor interoperabilidad y optimizar su infraestructura de TI.

También lea Crear informes de equipos de Active Directory con PowerShell

Visualización y edición de atributos ADSI

La pestaña Editor de Atributos en AD nos permite examinar o modificar cualquier propiedad de usuario. De acuerdo con la clase del objeto, la consola de ADSI Editor, por defecto, muestra todos los atributos que el objeto tiene en Active Directory. En ADSI Edit, incluso los atributos de un objeto no aparecen en la interfaz de ADUC.

Con el valor “no establecido”, mostramos tanto atributos llenos como vacíos. El botón Filtro nos permite elegir cómo mostrar las propiedades del objeto.

Las siguientes opciones de filtro están disponibles:

  • Mostrar solo atributos que tienen valores – esta opción, una vez habilitada, oculta todos los atributos con valores vacíos;
  • Mostrar solo atributos editables – muestra solo aquellos atributos que podemos editar;
  • Mostrar atributos obligatorios;
  • Mostrar atributos opcionales;
  • Mostrar atributos de solo lectura (Solo Construidos, Referencias inversas o Sistema).
Nota:

La pestaña Editor de Atributos en las propiedades de usuario de la consola ADUC es similar a esta pestaña.

Después, cambiamos cualquier atributo haciendo doble clic en él, ingresando un nuevo valor y luego guardando los cambios.

Tenga en cuenta que hay varios tipos de datos entre las características de los objetos (Entero, Cadena, MultiCadena, Tiempo, etc.). Por ejemplo, AD muestra los valores de las propiedades relacionadas con la fecha y hora en el editor de atributos de objetos ADSI en su forma convencional. Vemos que todavía se almacenan en la base de datos de Active Directory en formato Timestamp si intentamos modificarlos.

A continuación, configuramos la configuración de AD con ADSI Edit que no podemos configurar de ninguna otra manera. Por ejemplo, cualquier usuario dominio agrega hasta 10 cuentas de equipo al dominio (incluso sin derechos de administrador de dominio). El atributo LDAP ms-DS-MachineAccountQuota, que solo podemos modificar usando ADSI Edit, sirve como nuestra definición para esto (en las propiedades del dominio).

Después de eso, examinamos algunos ejemplos de actividades que realizamos con la consola ADSIEdit.

También lea Get-MgUserMemberOf – List Group Memberships of Azure AD User PowerShell

Ocultar OU en Active Directory

Por ejemplo, podríamos usar el complemento ADUC para ocultar la OU (uno de los contenedores de AD). Luego, abra las propiedades de la OU y cambie el atributo de Falso (o No establecido) a Verdadero. Para verificar la versión más reciente del esquema de AD utilizando ADSI Edit:

  1. Seleccione Esquema como un conocido Naming Context;
  2. Expande Schema, haga clic con el botón derecho en el esquema;
  3. Verifique el objectVersion valor

4. El valor corresponde al versión del esquema de AD en Windows Server 2012 R2.

No solo podemos administrar ADSI en GUI, sino que también podemos acercarnos a ellos mediante programación en PowerShell, lo cual discutimos en la siguiente sección.

También lee DCDiag: Cómo verificar la salud del controlador de dominio usando Powershell

Gestionar AD usando el Adaptador ADSI para PowerShell

Usamos el adaptador ADSI en PowerShell para establecer una conexión con un AD de LDAP. Aunque hay mejores formas de administrar AD (que el módulo de Active Directory de PowerShell), hay ocasiones en las que debemos usarlo, como a través de herramientas externas o scripts de inicio de sesión. Debemos especificar la ruta LDAP a un objeto AD para recibir información sobre él usando la interfaz ADSI:

[ADSI]'LDAP://CN=DC01,OU=Domain Controllers,DC=infrasos,DC=com'

Listar todos los atributos del objeto:

[ADSI]'LDAP://CN=DC01,OU=Domain Controllers,DC=infrasos,DC=com' | Format-List *

Obtener el valor de un atributo específico del objeto:

[ADSI]"LDAP://DC=infrasos,DC=com" | Format-List ms-DS-MachineAccountQuota

Usamos filtros de búsqueda de LDAP para encontrar objetos en AD a través de ADSI:

([ADSISearcher]'(&(objectCategory=computer)(operatingSystem=Windows Server 2019*)(primaryGroupID=516))').FindAll()

Encontrar usuarios con “Contraseña nunca Expira“:

([ADSISearcher]'(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=66048))').FindAll()

La interfaz ADSI también nos permite modificar y crear objetos AD:

$TargetOU = [adsi]'LDAP://DC=infrasos,DC=com'
$NewOU =$TargetOU.Create('organizationalUnit','ou=NewYork')
$NewOU.SetInfo()

También lee Obtener miembros de un grupo de Active Directory y exportar a CSV usando PowerShell

ADSI Edit: Cómo editar Active Directory usando ADSI Edit Conclusión

En conclusión, ADSI Edit es una herramienta poderosa que brinda a los administradores del sistema un acceso más profundo y control sobre los objetos y atributos de Active Directory. Mientras que ADUC ofrece una interfaz amigable para la gestión de Active Directory, a veces solo proporciona acceso a funcionalidades necesarias. Con ADSI Edit, los administradores realizan cambios a nivel bajo en objetos y atributos que generalmente son invisibles, lo que permite la resolución avanzada de problemas y la solución de problemas complejos.

Source:
https://infrasos.com/adsi-edit-how-to-edit-active-directory-using-adsi-edit/