ADSI Edit: Come modificare Active Directory utilizzando ADSI Edit

Tutorial
PowerShell

EDITORE ADSI: Come modificare l’Active Directory utilizzando l’Editore ADSI. Prima di tutto, l’Editore ADSI (Active Directory Service Interface Editor) consente di accedere e modificare i dati sottostanti e non esposti del servizio di directory tramite ADUC (Active Directory Utenti e 计算机). In questo articolo, viene discussa l’utilizzo di ADSI Edit, incluso come accedere all’strumento, la navigazione primaria e i casi d’uso quotidiani per effettuare modifiche agli oggetti e agli attributi dell’Active Directory. Sia che siamo esperti amministratori di sistema o solo all’inizio, capire come utilizzare l’Editore ADSI aiuta a portare le competenze di gestione dell’Active Directory al prossimo livello.Leggi anche Come impostare e gestire la politica di password di Active DirectoryADSI: Come modificare l’Active Directory utilizzando l’Editore ADSI

Leggi ancheCome configurare e gestire la politica della password di Active Directory

ADSI: Come modificare Active Directory utilizzando ADSI Edit

In secondo luogo, lo strumento ADSI (Active Directory Service Interface Editor) Edit è uno snap-in MMC. Utilizziamo le Interfacce di Servizio Active Directory per connetterci ad altre partizioni del database Active Directory (NTDS.dit) o al LDAP server. Lo strumento ADSI Edit ci consente anche di modificare attributi, eseguire ricerche e creare, modificare e eliminare elementi in Active Directory.

Leggi ancheControlla il nostro strumento Active Directory Direct Reports Tool (InfraSOS)

Prerequisiti

In primo luogo, le versioni attuali di Windows includono ADSIEdit.msc nei Strumenti di Amministrazione del Server Remoto (RSAT). Lo strumento ADSI fa parte del pacchetto ADDS Snap-ins e Strumenti da Riga di Comando. Dai un’occhiata a questo articolo per le istruzioni sull’installazione di RSAT e ulteriori informazioni.

Pertanto, dopo aver installato la funzionalità, premere Win+R per aprire la finestra Esegui e digitare adsiedit.msc per aprire ADSI Edit. In alternativa, accediamo a Strumenti di Amministrazione nella sezione Sicurezza e Sistema del Pannello di Controllo.

Nota: L’utilità di ADSI Edit per la funzionalità di modifica di AD ricorda l’editor del registro di sistema di Windows. Di conseguenza, non possiamo modificare alcune impostazioni di Windows utilizzando i Criteri di Gruppo o l’interfaccia utente grafica. Di conseguenza, l’amministratore a volte deve apportare modifiche direttamente al registro di sistema di Windows per risolvere un problema complesso.

Leggi anche Get-MgUser– Trova gli utenti di Azure AD e filtra utilizzando uno script PowerShell

Panoramica dello strumento ADSI

Allo stesso modo, sono necessari più strumenti per risolvere problemi complessi di Active Directory rispetto solo al Utenti e Computer snap-in o cmdlet di PowerShell. Ad esempio, tramite ADSI Edit, modifichiamo direttamente il database AD. Ma ADSI Edit, va oltre tutte le misure di sicurezza standard di AD. Di conseguenza, questo processo significa che utilizzando adsiedit.msc per apportare modifiche errate a AD, rischiamo di danneggiare o cancellare il nostro database AD. Pertanto, consigliamo di eseguire il backup di Active Directory prima di utilizzare questo strumento a causa di questo.

Per iniziare, fare clic con il pulsante destro del mouse sullo strumento ADSI e selezionare Connetti. Selezioniamo una macchina remota con un database LDAP o un punto di connessione, Nome contesto, da questo menu. Se non conosciamo il nome di connessione Distinguished Name esatto o i Nomi contesto, selezioniamo uno dei Nomi contesto noti:

  • Contesto di denominazione predefinito
  • Configurazione
  • RootDSE
  • Schema

Dobbiamo selezionare l’opzione Usa crittografia basata su SSL se il nostro server LDAP (o controller di dominio) ha un certificato SSL per utilizzare il protocollo LDAPS.

Inoltre, selezionare il contesto di denominazione predefinito per aprire la visuale AD simile a ADUC e premere OK. Il riquadro sinistro ora mostra una nuova partizione radice che possiamo estendere. Come vediamo, il terminale ADSI Edit in questa modalità mostra la vista ad albero gerarchico di tutti i contenitori e le unità organizzative Active Directory OU nell’AD.

Ricorda che dopo aver cliccato sul nodo, solo il contesto di denominazione predefinito e i diversi livelli di gerarchia in ADSI Edit sono visibili. Inoltre, ci sono contenitori di servizi AD basati su console che nascondiamo e che ADUC, per impostazione predefinita, non può mostrare. Nella gerarchia AD, ad esempio, possiamo selezionare, modificare, spostare, rimuovere e rinominare qualsiasi oggetto (computer, utenti, gruppi).

Per illustrazione, andremo all’OU con gli utenti, sceglieremo un utente e mostreremo un menu contestuale con un elenco di azioni disponibili. Come vediamo, reimpostiamo la password utente Active Directory oltre alle attività usuali con un oggetto AD (Sposta, Crea, Elimina, Rinomina). Inoltre, osservate che vengono mostrati il DN (Nome Distinto) e il CN (Nome Canonico) piuttosto che il nome dell’oggetto.

Vai all’oggetto desiderato e apri le proprietà dell’oggetto Active Directory richiesto per modificare le proprietà dell’oggetto utilizzando l’editor ADSI.

Migliora la tua sicurezza Active Directory & Azure AD

Provali gratuitamente, accesso a tutte le funzionalità.–200+ modelli di report AD disponibili. Personalizza facilmente i tuoi report AD.




Leggi anche Get-ADUser Filter OU – Elenca gli utenti da un’OU specifica

Importanza di ADSI

Ecco alcuni motivi per cui abbiamo bisogno di ADSI:

  1. Accesso e Controllo più approfonditi:Mentre lo strumento Active Directory Utenti e Computer (ADUC) fornisce un’interfaccia utente amichevole per gestire Active Directory, offre solo accesso ad alcune funzionalità necessarie.
  2. Automazione: Utilizziamo ADSI per automatizzare le attività amministrative quotidiane, come la creazione e la cancellazione di account utente, il reset di password e la modifica delle appartenenze ai gruppi. Questo processo è conveniente, risparmia tempo e riduce la probabilità di errori umani causati dall’inserimento manuale dei dati.
  3. Scripting: ADSI viene utilizzato con linguaggi di scripting come VBScript e PowerShell per automatizzare compiti ripetitivi o eseguire operazioni complesse. Questo processo rende più semplice la gestione di grandi ambienti di Active Directory con molti oggetti.
  4. Integrazione: ADSI integra Active Directory con altri servizi directory o applicazioni, come directory LDAP, DNS server e Exchange Server. Questo processo aiuta le organizzazioni a ottenere una migliore interoperabilità e semplificare la loro infrastruttura IT.

Leggi anche Creare report di computer Active Directory con PowerShell

Visualizzazione e modifica degli attributi ADSI

La scheda Editor di attributi in AD ci consente di esaminare o modificare le proprietà di qualsiasi utente. In base alla classe dell’oggetto, il console ADSI Editor, per impostazione predefinita, mostra tutti gli attributi che l’oggetto ha nel Active Directory. In ADSI Edit, anche gli attributi di un oggetto non compaiono nell’interfaccia ADUC.

Con il valore “non impostato”, mostriamo sia attributi riempiti che vuoti. Il pulsante Filtro ci consente di scegliere come mostrare le proprietà degli oggetti.

Sono disponibili le seguenti opzioni di filtro:

  • Mostra solo attributi che hanno valori – questa opzione, una volta abilitata, nasconde tutti gli attributi con valori vuoti;
  • Mostra solo attributi modificabili – visualizza solo gli attributi che possiamo modificare;
  • Mostra attributi obbligatori;
  • Mostra attributi opzionali;
  • Mostra attributi di sola lettura (Costruiti, Riferimenti inversi o Solo sistema).
Nota:

La scheda Editor di attributi nelle proprietà utente del console ADUC è simile a questa scheda.

Dopo, modifichiamo qualsiasi attributo facendo doppio clic su di esso, immettendo un nuovo valore e quindi salvando le modifiche.

Si prega di essere consapevoli che ci sono diversi tipi di dati tra le caratteristiche degli oggetti (Integer, String, MultiString, Time, ecc.). Ad esempio, AD mostra i valori delle proprietà legate a date e orari nel console ADSI Object Attribute Editor nella loro forma convenzionale. Vediamo che sono ancora memorizzati nel database Active Directory in formato Timestamp se proviamo a modificarli.

Successivamente, configuriamo le impostazioni di AD con ADSI Edit che non possiamo configurare con nessun altro metodo. Ad esempio, qualsiasi utente dominio può aggiungere fino a10 account computer al dominio (anche senza diritti di Domain Admin). L’attributo LDAP ms-DS-MachineAccountQuota, che possiamo modificare solo utilizzando ADSI Edit, funge da nostra definizione per questo (nelle proprietà del dominio).

Dopo di che, esaminiamo alcuni esempi di attività che svolgiamo con il console ADSIEdit.

Also Read Get-MgUserMemberOf– List Group Memberships of Azure AD User PowerShell

Nascondi OU in Active Directory

Ad esempio, potremmo utilizzare il ADUC snap-in per nascondere l’OU (uno dei contenitori di AD). Quindi, aprire le proprietà dell’OU e modificare l’attributo da False (o Non impostato) a True. Per verificare la versione più recente dello schema AD utilizzando ADSI Edit:

  1. Seleziona Schema come un ben noto Naming Context;
  2. Espandi Schema, fai clic con il tasto destro sullo schema;
  3. Controlla il objectVersion valore

4. Il valore corrisponde alla versione dello schema AD in Windows Server2012 R2.

Non possiamo solo gestire ADSI nell’interfaccia grafica, ma possiamo anche avvicinarli in modo programmatico in PowerShell, che discuteremo nella sezione successiva.

Leggi anche DCDiag: Come controllare la salute del controller di dominio utilizzando Powershell

Gestisci AD utilizzando l’adattatore ADSI per PowerShell

Utilizziamo l’adattatore ADSI in PowerShell per stabilire una connessione a un AD LDAP. Anche se ci sono modi migliori per amministrare AD (rispetto al modulo Active Directory di PowerShell), ci sono occasioni in cui dobbiamo usarlo, ad esempio tramite strumenti esterni o script di accesso. Dobbiamo specificare il percorso LDAP di un oggetto AD per ricevere informazioni su di esso utilizzando l’interfaccia ADSI:

[ADSI]'LDAP://CN=DC01,OU=Domain Controllers,DC=infrasos,DC=com'

Elencare tutti gli attributi dell’oggetto:

[ADSI]'LDAP://CN=DC01,OU=Domain Controllers,DC=infrasos,DC=com' | Format-List *

Ottenere il valore di un attributo specifico dell’oggetto:

[ADSI]"LDAP://DC=infrasos,DC=com" | Format-List ms-DS-MachineAccountQuota

Utilizzare i filtri di ricerca LDAP per trovare oggetti in AD tramite ADSI:

([ADSISearcher]'(&(objectCategory=computer)(operatingSystem=Windows Server 2019*)(primaryGroupID=516))').FindAll()

Trovare gli utenti con l’opzione “Password mai in scadenza” impostata:

([ADSISearcher]'(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=66048))').FindAll()

L’interfaccia ADSI ci consente anche di modificare e creare oggetti AD:

$TargetOU = [adsi]'LDAP://DC=infrasos,DC=com'
$NewOU =$TargetOU.Create('organizationalUnit','ou=NewYork')
$NewOU.SetInfo()

Leggi anche Ottenere i membri del gruppo Active Directory ed esportarli in CSV usando PowerShell

ADSI Edit: Come modificare Active Directory utilizzando ADSI Edit Conclusion

In conclusione, ADSI Edit è uno strumento potente che offre agli amministratori di sistema un accesso più profondo e un controllo su oggetti e attributi di Active Directory. Mentre ADUC fornisce un’interfaccia utente amichevole per la gestione di Active Directory, a volte potrebbe non offrire accesso a tutte le funzionalità necessarie. Con ADSI Edit, gli amministratori possono apportare modifiche a basso livello agli oggetti e agli attributi che sono generalmente invisibili, consentendo la risoluzione avanzata dei problemi e la correzione di problemi complessi.

Source:
https://infrasos.com/adsi-edit-how-to-edit-active-directory-using-adsi-edit/