ADSI Edit: איך לערוך את Active Directory באמצעות ADSI Edit

מדריכים
PowerShell

עריכת ADSI: איך לערוך את הנתונים ב Active Directory באמצעות עורך ADSI. בראשיתה, ADSI (Active Directory Service Interface Editor) Edit מאפשר גישה ושינוי לנתוני השירות הסתריים ולא חשופים בשירות הספרייה דרך ADUC (Active Directory Users ו Computers). במאמר זה, אנו דנים בשימוש בעורך ADSI, כולל איך לגשת לכלי, ניווט ראשי, ומקרים רגילים לשינויים באובייקטים ומאפיינים ב Active Directory . אם אנחנו מנהלי מערכת מנוסים או פשוט מתחילים, הבנה של איך להשתמש בעורך ADSI מסייעת להעלות את מיומנויות הניהול ב Active Directory לרמה הבאה. קרא גם כיצד להגדיר ולנהל מדיניות סיסמאות ב Active DirectoryADSI: איך לערוך את הנתונים ב Active Directory באמצעות עורך ADSI.

גם קראו איך להגדיר ולנהל מדיניות סיסמאות ב-Active Directory

ADSI: איך לערוך את Active Directory באמצעות כלי עריכה ADSI

שנית, כלי עריכה ADSI (ממשק עריכה שירותי Active Directory) הוא צמד מערכת MMC. אנו משתמשים ב-Active Directory ממשקי שירות כדי להתחבר למדיניות חלופיות במאגר Active Directory (NTDS.dit) או לשרת LDAP. כלי עריכה ADSI מאפשר לנו גם לערוך תכונות, לבצע חיפושים וליצור, לשנות ולמחוק פריטים ב-Active Directory.

גם קראו בדוק את כלי הדו-שיח שלנו עבור Active Directory (InfraSOS)

הכנות

חשוב לציין שגרסאות נוכחיות של Windows כוללות את ADSIEdit.msc בכלי הניהול של שרת רחוק (RSAT). כלי ADSI הוא חלק מחבילת צמתי ADDS וכלי שורת פקודה. בדוק את המאמר הזה להוראות על התקנת RSAT ועוד מידע.

לכן, לאחר התקנת התכונה, הקישו על Win+R כדי להוביל את חלון הריצה והקלידו adsiedit.msc כדי לפתוח את ערוץ ADSI. כפול, אנו גולשים בכלי הניהול תחת סעיף מערכת ואבטחה בלוח הבקרה.

הערה: הצמד ה-ADSI Edit בפונקציונליות עריכת ה-AD דומה לעורך הרירטואל של Windows. כתוצאה מכך, אנו לא יכולים לשנות כמה מהגדרות של Windows באמצעות מדיניות קבוצה או ממשק המשתמש הגרפי. כתוצאה מכך, לעיתים קרובות המנהל צריך לבצע שינויים ישירות ברירטואל של Windows כדי לפתור בעיה מורכבת.

קרא גם Get-MgUser – מצא משתמשים ב-Azure AD וסנן באמצעות תכנית פורטשל

סקירה של כלי ADSI

כמו כן, נדרש יותר כלים לפתרון בעיות מורכבות ב-Active Directory מאשר רק סמן ה-משתמשים ו-מחשבים או פקודות PowerShell. לדוגמה, באמצעות עורך ADSI, אנו משנים ישירות את מסד הנתונים של AD. אך עורך ADSI עובר מעבר לכל הסימונים הסטנדרטיים של AD. כתוצאה מכך, התהליך הזה אומר שעל ידי שימוש ב-adsiedit.msc לביצוע שינויים שגויים ב-AD, אנו מסתכנים בפגיעה או מחיקה של מסד הנתונים של AD. לכן, אנו ממליצים לגזור על Active Directory לפני שימוש בכלי זה בגלל זה.

כדי להתחיל, לחץ בכפתור הימני על כלי ADSI ובחר התחברות. אנו בוחרים מחשב רחוק עם מסד נתונים LDAP או נקודת קישור, משמעות קונטקסט, מתוך התפריט זה. אם אנו לא יודעים את מפתח הקישור המובחן המדויק או משמעויות הקונטקסט, אנו בוחרים אחת ממשמעויות הקונטקסט הידועות:

  • השמה מדויקת ברירת מחדל
  • תצורה
  • RootDSE
  • שיטת סימון

עלינו לבחור את האפשרות שימוש בהצפנה מבוססת SSL אם שרת ה-LDAP שלנו (או שרת התחום) משתמש בתעודת SSL כדי להשתמש בפרוטוקול LDAPS.

בנוסף, עלינו לבחור את ההיסטוריה הקדמית הברירת מחדל כדי לפתוח את ADUC כמו ראייה של AD וללחוץ על אישור. עכשיו הפאנל השמאלי מציג חלון חדש של חלוקה שנוכל להרחיב. כפי שאנו רואים, תצוגת עצים עצמית של ADSI Edit במצב זה מראה את העץ ההיררכי של כל המכלולים ושל אולפני הפעולה בAD.

זכור שאחרי שאנו לוחצים על הצמתים, ההיסטוריה הקדמית הברירת מחדל והרמות השונות של ההיררכיה ב-ADSI Edit זמינים רק בשבילנו. ישנם מכלולים של שירותי AD מבוססי קונסולה שאנו מסתירים ושADUC, כברירת מחדל, אינו יכול להראות. בהיררכיה של AD, למשל, אנו בוחרים, משנים, מזיזים, מוחקים ומשנים את שמות כל האובייקטים (מחשבים, משתמשים,קבוצות).

לשם הדגמה, נלך לאוכף משתמשים, נבחר משתמש, ונראה תפריט עם רשימה של פעולות זמינות. כפי שאנו רואים, אנו מאפסים את סיסמת המשתמש של Active Directory בנוסף לפעולות הרגילות עם אובייקט AD (העברה, יצירה, מחיקה, שם חדש). כמו כן, שימו לב שמוצגים DN (שם מובהק) ו-CN (שם קנוני) במקום שם האובייקט.

עברו לאובייקט הרצוי ופתחו את התכונות של אובייקט Active Directory הנדרש כדי לערוך תכונות אובייקט באמצעות ADSI Edit.

שפרו את האבטחה של Active Directory שלכם ו-Azure AD

נסו אותנו ב-חינם, גישה לכל התכונות. – מעל 200 תבניות דוחות AD זמינות. בקלות תוכנן דוחות AD משלך.




קרא גם Get-ADUser Filter OU – List Users from a Specific OU

חשיבותו של ADSI

הנה מספר סיבות לכך שאנו זקוקים ל-ADSI:

  1. שליטה וגישה עמוקה יותר: בעוד כלי Active Directory משתמשים ומחשבים (ADUC) מספקים ממשק משתמש ידידותי לניהול Active Directory, הם מספקים גישה רק לכמה פונקציונליות הנחוצות.
  2. אוטומציה: אנו משתמשים ב-ADSI כדי לבצע אוטומציה על מטלות הניהול היום יומיות, כגון יצירת ומחיקת חשבונות משתמשים, העברת סיסמאות, ושינוי שיוך לקבוצות. התהליך זול, מקצר זמן ומקטין את הסיכון לטעויות אנושיות הנגרמות מכניסה נתונים ידנית.
  3. שפות תכנות: ADSI משמש בשפות תכנות כמו VBScript ו-PowerShell כדי להפעיל משימות חוזרות או לבצע פעולות מורכבות. התהליך הזה מקל על ניהול סביבות גדולות של Active Directory בעלות עצמים רבים בקלות רבה יותר.
  4. שילוב: ADSI משלב את Active Directory עם שירותי דירקטורי אחרים או יישומים, כגון דירקטוריות LDAP, DNS שרתים ו-Exchange שרת. התהליך זה עוזר לארגונים להשיג תמיכה טובה יותר בשיתופי פעולה וליישר את מבנה הממשק המוצר שלהם.

שקול גם יצירת דוחות מחשב של Active Directory עם PowerShell

צפייה ועריכה של תכונות ADSI

בכרטיסיה "עורך תכונות" ב-AD, אנו יכולים לבחון או לשנות כל תכונות משתמש. על פי מחלקת האובייקט, ממשק ADSI עורך, כברירת מחדל, מציג כל תכונה שיש לאובייקט במרקר פעיל. בעריכת ADSI, אפילו תכונות של אובייקט אינן מופיעות בממשק ADUC.

עם הערך "לא מוגדר", אנו מציגים גם תכונות מלאות וגם ריקות. כפתור המסנן מאפשר לנו לבחור איך להציג תכונות של אובייקט.

האפשרויות המסנן הבאות זמינות:

  • הצג רק תכונות שיש להן ערכים – ברכיבת זו, מסתירים את כל התכונות עם ערכים ריקים;
  • הצג רק תכונות כותבות – מציג רק את התכונות שאנו יכולים לערוך;
  • הצג תכונות חובה;
  • הצג תכונות אופציונליות;
  • הצג תכונות קריאה בלבד (מורכבות, קישורים חוזרים, או מערכת בלבד).
הערה:

כרטיסיה "עורך תכונות" בממשק ADUC של תכונות משתמש דומה לכרטיסיה זו.

לאחר מכן, אנו משנים כל תכונה על ידי לחיצה כפולה עליה, הזנת ערך חדש, ואז שמירת השינויים.

שימו לב שיש מספר סוגי נתונים בין המאפיינים של אובייקטים (מספר שלם, מחרוזת, מחרוזת רבים, זמן וכו '). לדוגמה, AD מציג את ערכי הנתונים הקשורים לזמן / תאריך בחלון מחוון תכונות אובייקט ADSI בצורתם המקובלת. אנו רואים שהם עדיין מאוחסנים במסד הנתונים של מדריך הפעיל טיימסטמפ אם ננסה לשנות אותם.


לאחר מכן, אנו מגדירים הגדרות AD באמצעות עריכת ADSI שאיננו יכולים להגדיר בשום דרך אחרת. לדוגמה, כל תחום משתמש מוסיף עד 10 חשבונות מחשב לתחום (אפילו ללא זכויות מנהל תחום). התכונה LDAP ms-DS-MachineAccountQuota , שאנו יכולים לשנות רק באמצעות עריכת ADSI, משמשת לנו כהגדרה עבור זה (בתכונות התחום).


לאחר מכן אנו בוחנים כמה דוגמאות לפעילויות שאנו מבצעים בחלון עריכת ADSIEdit.

גם לקרוא Get-MgUserMemberOf – רשימת מעמדות קבוצה של משתמש Azure AD PowerShell

הסתרת OU במדריך פעיל

לדוגמה, נוכל להשתמש בתוספת ADUC כדי להסתיר יישוב מועמד (אחד הארגומנטים של AD). לאחר מכן, פתח את תכונות הישוב מועמד ושנה את התכונה משקרים (או לא מוגדר) לאמת. כדי לבדוק את הגרסה האחרונה של תבנית ה-AD באמצעות ערוץ ADSI ערוכים:

  1. בחרתבנית כמוקד ידוע של תיאום;
  2. הרחב את תבנית, נאלץ לחץ על התבנית;
  3. בדוק את objectVersion ערך

4. הערך מתאים לגרסת תבנית AD בשרתי Windows 2012 R2.

אנו לא רק יכולים לנהל ADSI ב-GUI אלא גם לגשת אליהם באופן תכנותי בPowerShell, שאנו נדון בו בסעיף הבא.

קרא גם DCDiag: איך לבדוק את בריאות ממשק השלטון המקומי באמצעות PowerShell

ניהול AD באמצעות מתאים ADSI עבור PowerShell

אנו משתמשים במתאם ADSI ב- PowerShell כדי להקים חיבור ל- LDAP AD. למרות שישנם דרכים טובות יותר לנהל AD (מאשר ה PowerShell Active Directory module), ישנם מקרים בהם עלינו להשתמש בו, כגון דרך כלים חיצוניים או תסריטים logon. עלינו לציין את הנתיב LDAP אל אובייקט AD כדי לקבל מידע עליו באמצעות הממשק ADSI:

[ADSI]'LDAP://CN=DC01,OU=Domain Controllers,DC=infrasos,DC=com'

רשימת כל תכונות האובייקט:

[ADSI]'LDAP://CN=DC01,OU=Domain Controllers,DC=infrasos,DC=com' | Format-List *

אנו מקבלים את ערך תכונת האובייקט הספציפית:

[ADSI]"LDAP://DC=infrasos,DC=com" | Format-List ms-DS-MachineAccountQuota

אנו משתמשים במסנני חיפוש LDAP כדי למצוא אובייקטים ב־ AD דרך ADSI:

([ADSISearcher]'(&(objectCategory=computer)(operatingSystem=Windows Server 2019*)(primaryGroupID=516))').FindAll()

מציאת משתמשים עם הגדרת "סיסמה לא פג תוקף":

([ADSISearcher]'(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=66048))').FindAll()

ממשק ה- ADSI מאפשר גם לנו לשנות וליצור אובייקטים ב- AD:

$TargetOU = [adsi]'LDAP://DC=infrasos,DC=com'
$NewOU =$TargetOU.Create('organizationalUnit','ou=NewYork')
$NewOU.SetInfo()

קרא גם קבלת חברים של קבוצת Active Directory וייצוא ל-CSV באמצעות PowerShell

ADSI Edit: כיצד לערוך את Active Directory באמצעות ADSI Edit מסקנה

לסיכום, ADSI Edit הוא כלי עוצמתי המעניק למנהלי מערכות גישה עמוקה ושליטה על אובייקטים ומאפיינים של Active Directory. בעוד ADUC מספק ממשק ידידותי למשתמש לניהול Active Directory, לעיתים רחוקות הוא עשוי לספק גישה רק לחלק מהפונקציות הנדרשות. עם ADSI Edit, מנהלי המערכת יכולים לבצע שינויים ברמה נמוכה לאובייקטים ולמאפיינים שבדרך כלל נסתרים, מאפשר תיקון בעיות מתקדםות וטיפול בתקלות מורכבות.

Source:
https://infrasos.com/adsi-edit-how-to-edit-active-directory-using-adsi-edit/