ADSI Edit : Comment éditer Active Directory à l’aide d’ADSI Edit

Tutoriels
PowerShell

ADSI Edit : Comment modifier Active Directory en utilisant ADSI Edit. Tout d’abord, ADSI (Active Directory Service Interface Editor) Edit permet d’accéder et de modifier les données du service d’annuaire sous-jacent et non exposées à travers ADUC (Active Directory Utilisateurs et Ordinateurs). Dans cet article, nous discutons de l’utilisation de ADSI Edit, y compris comment accéder à l’outil, la navigation principale et les cas d’utilisation quotidiens pour apporter des modifications aux objets et attributs d’Active Directory. Que nous soyons des administrateurs système chevronnés ou simplement en train de commencer, comprendre comment utiliser ADSI Edit aide à améliorer les compétences de gestion de l’Active Directory au niveau suivant. Lire aussi Comment configurer et gérer la stratégie de mot de passe Active DirectoryADSI : Comment modifier Active Directory en utilisant ADSI Edit

Lisez également Comment configurer et gérer la politique de mot de passe Active Directory

ADSI: Comment modifier Active Directory à l’aide d’ADSI Edit

Deuxièmement, l’outil ADSI (Active Directory Service Interface Editor) Edit est un composant MMC. Nous utilisons les Interfaces de Service Active Directory pour nous connecter à d’autres partitions de base de données Active Directory (NTDS.dit) ou au serveur LDAP. L’outil ADSI Edit nous permet également d’éditer des attributs, d’effectuer des recherches et de créer, modifier et supprimer des éléments dans Active Directory.

Lisez également Vérifiez notre outil de rapport direct Active Directory (InfraSOS)

Conditions préalables

Important, les versions actuelles de Windows incluent ADSIEdit.msc dans les Outils d’administration de serveur distant (RSAT). L’outil ADSI fait partie du package de composants enfichables ADDS et ligne de commande Outils. Consultez cet article pour des instructions sur l’installation de RSAT et plus d’informations.

Par conséquent, après avoir installé la fonctionnalité, appuyez sur Win+R pour ouvrir la fenêtre Exécuter et tapez adsiedit.msc pour ouvrir l’éditeur ADSI. Alternativement, nous accédons aux Outils d’administration dans la section Sécurité et système du Panneau de configuration.

Note: L’extension ADSI Edit dans la fonctionnalité d’édition AD ressemble à l’éditeur registre Windows. Par conséquent, nous ne pouvons pas modifier certaines paramètres Windows à l’aide des stratégies de groupe ou de l’interface utilisateur graphique. Par conséquent, l’administrateur doit parfois modifier directement le registre Windows pour résoudre un problème complexe.

Lisez aussi Get-MgUser – Trouver des utilisateurs Azure AD et filtrer à l’aide d’un script PowerShell

Présentation de l’outil ADSI

De même, plus d’outils sont nécessaires pour résoudre des problèmes complexes d’Active Directory que seulement l’extension Utilisateurs et Ordinateurs ou les cmdlets PowerShell. Par exemple, via ADSI Edit, nous modifions directement la base de données AD. Mais ADSI Edit dépasse toutes les mesures de sécurité standard d’AD. En conséquence, ce processus signifie que l’utilisation de adsiedit.msc pour apporter des modifications erronées à AD, nous risquons de détériorer ou d’effacer notre base de données AD. Par conséquent, nous recommandons de sauvegarder Active Directory avant d’utiliser cet outil en raison de cela.

Pour commencer, faites un clic droit sur l’outil ADSI et sélectionnez Se connecter. Nous sélectionnons une machine distante avec une base de données LDAP ou un Point de connexion, Contexte d’affectation de noms, à partir de ce menu. Si nous ne connaissons pas le nom de connexion exact, Distinguished Name ou Contexte d’affectation de noms, nous sélectionnons l’un des Contexte d’affectation de noms connus :

  • Contexte d’affectation de noms par défaut
  • Configuration
  • RootDSE
  • Schéma

Nous devons sélectionner l’option Utiliser un chiffrement basé sur SSL si notre serveur LDAP (ou contrôleur de domaine) possède un certificat SSL pour utiliser le protocole LDAPS.

De plus, veuillez choisir le contexte de nommage par défaut pour ouvrir la vue ADUC similaire à AD et appuyez sur OK. Le panneau de gauche affiche maintenant une nouvelle partition racine que nous pouvons étendre. Comme nous le constatons, l’interface de terminal ADSI Edit dans ce mode montre la vue hiérarchique de l’arbre de tous les conteneurs et des objets OU Active Directory dans AD.

N’oubliez pas qu’après avoir cliqué sur le nœud, le Contexte de nommage par défaut et les différents niveaux de hiérarchie dans ADSI Edit ne sont visibles que si nous les affichons. De plus, il existe des conteneurs de services AD basés sur la console que nous cachons et que ADUC, par défaut, ne peut pas montrer. Dans la hiérarchie AD, par exemple, nous sélectionnons, modifions, déplaçons, supprimons et renommons tous les objets (ordinateurs, utilisateurs, groupes).

Pour illustrer, nous allons aller à l’OU avec les utilisateurs, choisir un utilisateur et afficher un menu contextuel avec une liste d’actions disponibles. Comme nous le voyons, nous réinitialisons le mot de passe Active Directory de l’utilisateur en plus des activités habituelles avec un objet AD (Déplacer, Créer, Supprimer, Renommer). De plus, notez que le DN (Nom distinct) et le CN (Nom canonique) sont affichés plutôt que le nom de l’objet.

Allez à l’objet souhaité et ouvrez les propriétés de l’objet Active Directory requis pour modifier les propriétés de l’objet à l’aide de l’éditeur ADSI.

Améliorez votre sécurité Active Directory & Azure AD

Essayez-nous gratuitement, accès à toutes les fonctionnalités. – 200+ modèles de rapports AD disponibles. Personnalisez facilement vos propres rapports AD.




Lisez aussi Get-ADUser Filter OU – Liste des utilisateurs d’un OU spécifique

Importance d’ADSI

Voici quelques raisons pour lesquelles nous avons besoin d’ADSI :

  1. Accès et contrôle plus approfondis: Bien que l’outil Active Directory Utilisateurs et Ordinateurs (ADUC) offre une interface conviviale pour gérer Active Directory, il ne fournit qu’accès à certaines fonctionnalités indispensables.
  2. Automatisation: Nous utilisons ADSI pour automatiser les tâches administratives quotidiennes, telles que la création et la suppression d’comptes d’utilisateurs, la réinitialisation d’mots de passe, et la modification des appartenances aux groupes. Ce processus est économique, économise du temps et réduit la probabilité d’erreurs humaines causées par la saisie de données manuelle.
  3. Scripting: ADSI est utilisé avec des langages de script tels que VBScript et PowerShell pour automatiser des tâches répétitives ou effectuer des opérations complexes. Ce processus facilite la gestion d’environnements Active Directory environnements volumineux avec de nombreux objets.
  4. Intégration: ADSI intègre Active Directory avec d’autres services de répertoire ou applications, tels que des répertoires LDAP, DNS serveurs, et Exchange Server. Ce processus aide les organisations à améliorer l’interopérabilité et à rationaliser leur infrastructure informatique.

Lisez également Créer des rapports d’ordinateurs Active Directory avec PowerShell

Visualisation et modification des attributs ADSI

L’onglet Éditeur d’attributs dans l’AD nous permet d’examiner ou de modifier les propriétés de tout utilisateur. Selon la classe de l’objet, la console ADSI Editor, par défaut, affiche tous les attributs que l’objet possède dans Active Directory. Dans ADSI Edit, même les attributs d’un objet ne sont pas visibles dans l’interface ADUC.

Avec la valeur « non défini », nous montrons à la fois les attributs remplis et vides. Le bouton Filtre nous permet de choisir comment afficher les propriétés de l’objet.

Les options de filtre suivantes sont disponibles:

  • Afficher uniquement les attributs qui ont des valeurs – cette option, une fois activée, masque tous les attributs avec des valeurs vides;
  • Afficher uniquement les attributs modifiables – affiche uniquement les attributs que nous pouvons modifier;
  • Afficher les attributs obligatoires;
  • Afficher les attributs optionnels;
  • Afficher les attributs en lecture seule (Construits, Liens arrière, ou Système uniquement).
Remarque:

L’onglet Éditeur d’attributs dans les propriétés de l’utilisateur de la console ADUC est similaire à cet onglet.

Après cela, nous modifions tout attribut en double-cliquant dessus, en entrant une nouvelle valeur, puis en enregistrant les modifications.

Sachez que plusieurs types de données font partie des caractéristiques des objets (Entier, Chaîne, MultiChaîne, Temps, etc.). Par exemple, AD montre les valeurs des propriétés liées au temps/date dans le panneau d’édition des attributs d’objet ADSI dans leur forme conventionnelle. Nous constatons qu’elles sont toujours stockées dans la base de données Active Directory en format Timestamp si nous tentons de les modifier.

Ensuite, nous configurons les paramètres AD avec l’éditeur ADSI que nous ne pouvons configurer par aucune autre méthode. Par exemple, tout utilisateur de domaine peut ajouter jusqu’à 10 comptes d’ordinateur au domaine (même sans droits d’administrateur de domaine). L’attribut LDAP ms-DS-MachineAccountQuota, que nous ne pouvons modifier qu’avec l’éditeur ADSI, sert de définition pour cela (dans les propriétés du domaine).

Après cela, nous examinons quelques exemples d’activités que nous entreprenons avec la console ADSIEdit.

Lire aussi Get-MgUserMemberOf – Liste des appartenances aux groupes d’un utilisateur Azure AD avec PowerShell

Masquer l’OU dans Active Directory

Par exemple, nous pourrions utiliser l’élément joint ADUC pour masquer l’OU (l’un des conteneurs AD). Ensuite, ouvrez les propriétés de l’OU et modifiez l’attribut de False (ou Non défini) en True. Pour vérifier la dernière version du schéma AD à l’aide de l’éditeur ADSI :

  1. Sélectionnez Schéma comme un contexte de nommage bien connu;
  2. Développez Schéma, faites un clic droit sur le schéma;
  3. Vérifiez la objectVersion valeur

4. La valeur correspond à la version du schéma AD dans Windows Server 2012 R2.

Nous pouvons non seulement gérer ADSI dans l’interface graphique, mais également les aborder de manière programmatique dans PowerShell, que nous abordons dans la section suivante.

Lire aussi DCDiag: Comment vérifier la santé du contrôleur de domaine à l’aide de Powershell

Gérer AD en utilisant l’adaptateur ADSI pour PowerShell

Nous utilisons l’adaptateur ADSI dans PowerShell pour établir une connexion à un AD LDAP. Bien qu’il existe de meilleures façons d’administrer AD (que le module Active Directory Powershell), il arrive parfois que nous devions l’utiliser, par exemple via des outils externes ou des scripts de connexion. Nous devons spécifier le chemin LDAP vers un objet AD pour recevoir des informations à son sujet en utilisant l’interface ADSI :

[ADSI]'LDAP://CN=DC01,OU=Domain Controllers,DC=infrasos,DC=com'

Lister tous les attributs de l’objet :

[ADSI]'LDAP://CN=DC01,OU=Domain Controllers,DC=infrasos,DC=com' | Format-List *

Nous obtenons la valeur d’un attribut spécifique de l’objet :

[ADSI]"LDAP://DC=infrasos,DC=com" | Format-List ms-DS-MachineAccountQuota

Nous utilisons des filtres de recherche LDAP pour trouver des objets dans AD via ADSI :

([ADSISearcher]'(&(objectCategory=computer)(operatingSystem=Windows Server 2019*)(primaryGroupID=516))').FindAll()

Trouver les utilisateurs avec l’option « Mot de passe jamais expiré » définie :

([ADSISearcher]'(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=66048))').FindAll()

L’interface ADSI nous permet également de modifier et de créer des objets AD :

$TargetOU = [adsi]'LDAP://DC=infrasos,DC=com'
$NewOU =$TargetOU.Create('organizationalUnit','ou=NewYork')
$NewOU.SetInfo()

Lisez aussi Obtenir les membres du groupe Active Directory et les exporter vers un fichier CSV à l’aide de PowerShell

ADSI Edit : Comment éditer Active Directory en utilisant ADSI Edit Conclusion

En conclusion, ADSI Edit est un outil puissant qui donne aux administrateurs système un accès plus profond et un contrôle sur les objets et les attributs d’Active Directory. Alors que ADUC offre une interface conviviale pour la gestion de Active Directory, elle ne fournit parfois pas un accès à toutes les fonctionnalités nécessaires. Avec ADSI Edit, les administrateurs peuvent apporter des modifications de bas niveau aux objets et aux attributs qui sont généralement invisibles, permettant ainsi un dépannage avancé et la résolution de problèmes complexes.

Source:
https://infrasos.com/adsi-edit-how-to-edit-active-directory-using-adsi-edit/