ADSI Edit: Active Directory の編集方法を使用する

チュートリアル
PowerShell

ADSI Edit: ADSI Editを使用してActive Directoryを編集する方法。まず第一に、ADSI(Active Directory Service Interface Editor)Editを使用すると、ADUC(Active Directoryユーザーおよびコンピュータ)を介して基礎となる非公開のディレクトリサービスデータにアクセスして変更することができます。この記事では、ADSI Editの使用方法、ツールへのアクセス方法、主なナビゲーション、およびActive Directoryオブジェクトと属性の変更のための日常的な使用例について説明します。私たちは経験豊富なシステム管理者であろうと、始めたばかりであろうと、ADSI Editの使用方法を理解することは、Active Directory管理スキルを次のレベルに引き上げるのに役立ちます。また、こちらも読んでみてください:Active Directoryパスワードポリシーの設定と管理方法ADSI:ADSI Editを使用してActive Directoryを編集する方法

また読む アクティブディレクトリのパスワードポリシーの設定と管理方法

ADSI: アクティブディレクトリをADSI Editで編集する方法

第二に、ADSI(Active Directory Service Interface Editor)EditツールはMMCスナップインです。私たちは、他のアクティブディレクトリデータベースパーティション(NTDS.dit)またはLDAPサーバーに接続するためにアクティブディレクトリサービスインターフェイスを使用します。 ADSI Editツールはまた、属性を編集し、検索を実行し、アクティブディレクトリ内の項目を作成、変更、削除できるようにします。

また読む アクティブディレクトリの直接報告ツール(InfraSOS)をチェックしてください

前提条件

重要なことに、現在のWindowsバージョンにはリモートサーバー管理ツール(RSAT)にADSIEdit.mscが含まれています。ADSIツールは、ADDSスナップインとコマンドラインツールパッケージの一部です。RSATをインストールする手順や詳細情報については、この記事をチェックアウトしてください。

したがって、機能をインストールした後、Win+Rを押して実行ウィンドウを開き、adsiedit.mscと入力してADSI Editを開くことができます。また、コントロールパネルのシステムとセキュリティセクションの下の管理ツールからアクセスすることもできます。

注: ADSI EditスナップインのAD編集機能はWindowsレジストリエディタに似ています。そのため、グループポリシーやグラフィカルユーザーインターフェイスを使用していくつかのWindows設定を変更することはできません。その結果、管理者は複雑な問題を解決するためにWindowsレジストリに直接変更を加える必要があることが時々あります。

また読むGet-MgUser – Azure ADユーザーを見つけてPowerShellスクリプトでフィルタリング

ADSIツールの概要

同様に、ユーザーコンピュータスナップインやPowerShellコマンドレットだけではなく、より多くのツールが高度なActive Directoryの問題を解決するために必要です。例えば、ADSI Editを使用することで、直接ADデータベースを変更できます。しかし、ADSI Editは標準のADの安全措置をすべて超えてしまいます。その結果、adsiedit.mscを使用して誤ったADの変更を行うことで、ADデータベースを損傷や削除するリスクがあります。そのため、このツールを使用する前にActive Directoryをバックアップすることをお勧めします。

まずは、ADSIツールを右クリックし、接続を選択します。このメニューから、LDAPデータベースを持つリモートマシンや接続ポイント、名前付けコンテキストを選択します。接続ポイントの識別名や名前付けコンテキストが正確にわからない場合は、既知の名前付けコンテキストのいずれかを選択します:

  • デフォルトの名前付けコンテキスト
  • 構成
  • RootDSE
  • スキーマ

LDAPサーバー(またはドメインコントローラー)がSSL証明書を持っている場合、LDAPSプロトコルを使用するためにSSLベースの暗号化を使用するオプションを選択する必要があります。

さらに、ADUCのようなADビューを開くためにデフォルトの名前付けコンテキストを選択し、OKを押してください。左側のペインには、拡張可能な新しいルートパーティションが表示されます。見ての通り、このモードでのADSI Editエディターは、AD内のすべてのコンテナとActive DirectoryOUの階層ツリービューを表示します。

ノードをクリックした後、ADSI Edit内のデフォルトの名前付けコンテキストとADの階層の異なるレベルが表示されることを覚えておいてください。さらに、ADUCがデフォルトで表示できないコンソールベースのADサービスコンテナがあります。例えば、ADの階層内では、任意のオブジェクト(コンピューター、ユーザー、グループ)を選択、変更、移動、削除、および名前変更できます。

例示のために、OUにユーザーと共に行き、ユーザーを選択し、利用可能なアクションのリストを含むコンテキストメニューを表示します。見ての通り、通常のADオブジェクト(移動、作成、削除、名前変更)と共にActive Directoryユーザーのパスワードをリセットします。さらに、DN(識別名)とCN(標準名)がオブジェクト名ではなく表示されていることに注意してください。

目的のオブジェクトに移動し、必要なActive Directoryオブジェクトのプロパティを開いて、ADSI Editを使用してオブジェクトプロパティを編集します。

Active Directory Security & Azure ADを向上させましょう。

無料で試してみませんか、すべての機能へのアクセス。 – 200以上のADレポートテンプレートが利用可能。簡単に独自のADレポートをカスタマイズできます。




また読むGet-ADUser Filter OU – 特定のOUからユーザーをリスト

ADSIの重要性

以下は、なぜADSIが必要かのいくつかの理由です:

  1. より深いアクセスとコントロール:Active Directory ユーザーとコンピューター (ADUC) ツールは、Active Directoryを管理するためのユーザー フレンドリーなインターフェイスを提供しますが、必要な機能にのみアクセスを提供します。
  2. 自動化: ADSIを使用して、日常的な管理タスクを自動化します。たとえば、ユーザーアカウントの作成と削除、パスワードのリセット、グループメンバーシップの変更などです。このプロセスはコスト効率が良く、時間を節約し、手動データ入力による人為的なエラーの可能性を減らすことができます。
  3. スクリプティング: ADSIはVBScriptやPowerShellなどのスクリプト言語で使用され、繰り返しのタスクを自動化したり、複雑な操作を行ったりするために使用されます。このプロセスにより、多くのオブジェクトを持つ大規模なActive Directory環境を管理することが容易になります。
  4. 統合: ADSIはActive Directoryを他のディレクトリサービスやアプリケーション、例えばLDAPディレクトリ、DNSサーバー、Exchange Serverなどと統合します。このプロセスにより、組織はより良い相互運用性を達成し、ITインフラストラクチャを効率化することができます。

関連記事 PowerShellでActive Directoryコンピューターのレポートを作成する

ADSI属性の表示と編集

属性エディタタブは、ADでユーザーのプロパティを調べたり変更したりできます。オブジェクトのクラスに応じて、ADSIエディタコンソールはデフォルトで、Active Directoryのオブジェクトが持つすべての属性を表示します。ADSI Editでは、オブジェクトの属性がADUCインターフェイスに表示されない場合もあります。

値が「設定されていません」と表示されると、埋め込まれた属性と空の属性の両方が表示されます。フィルターボタンを使用すると、オブジェクトのプロパティを表示する方法を選択できます。

利用可能なフィルターオプションは次のとおりです。

  • 値を持つ属性のみを表示する — このオプションを有効にすると、空の値を持つすべての属性が非表示になります。
  • 書き込み可能な属性のみを表示する — 編集できる属性のみを表示します。
  • 必須属性を表示する;
  • オプション属性を表示する;
  • 読み取り専用属性を表示する(構築済み、バックリンク、またはシステムのみ)。
注:

ADUCコンソールのユーザー属性の属性エディタタブは、このタブに似ています。

その後、属性を変更するには、それをダブルクリックして新しい値を入力し、変更を保存します。

注意してください、オブジェクトの特性の中にはいくつかのデータ型があります(整数、文字列、マルチストリング、時間など)。例えば、ADは、ADSIオブジェクト属性エディタコンソールで時間/日付関連のプロパティの値が従来の形式で表示されていることを示しています。それらを変更しようとすると、まだアクティブなディレクトリデータベースにタイムスタンプ形式で保存されていることがわかります。

次に、他の方法では設定できないAD設定をADSI Editで設定します。例えば、ドメインのユーザーはドメイン管理者権限なしでも、最大10個のコンピュータアカウントをドメインに追加できます。これを定義するLDAP属性ms-DS-MachineAccountQuotaは、ADSI Editを使用してのみ変更できます(ドメインのプロパティで)。

その後、ADSIEditコンソールで実行するいくつかのアクティビティの例を調べます。

さらに読むGet-MgUserMemberOf – Azure ADユーザーのグループメンバーシップを一覧表示するPowerShell

Active DirectoryでOUを非表示にする

例えば、ADUCスナップインを使用して、OU(ADコンテナの1つ)を非表示にすることができます。次に、OUのプロパティを開き、属性をFalse(またはNot Set)からTrueに変更します。ADSI Editを使用してADスキーマの最新バージョンを確認するには:

  1. Select Schema well known Naming Contextとして;
  2. Schemaを展開し、スキーマを右クリックします;
  3. をチェックしますobjectVersion

4. 値は、ADスキーマバージョンWindows Server 2012 R2で。

ADSIをGUIで管理するだけでなく、PowerShellでプログラム的にアプローチすることもできます。これについては次のセクションで説明します。

DCDiag: Powershellを使用してドメインコントローラーの健康状態をチェックする方法

PowerShellを使用したADSIアダプターを使用してADを管理する

私たちは、LDAP ADに接続するためにPowerShellでADSIアダプターを使用します。ADを管理するためのより良い方法がありますが(PowerShellアクティブディレクトリモジュールよりも)、外部ツールやログオンスクリプトなどを介して使用する必要がある場合があります。ADオブジェクトに関する情報を受信するには、ADSIインターフェースを使用してADオブジェクトへのLDAPパスを指定する必要があります:

[ADSI]'LDAP://CN=DC01,OU=Domain Controllers,DC=infrasos,DC=com'

すべてのオブジェクト属性をリストアップ:

[ADSI]'LDAP://CN=DC01,OU=Domain Controllers,DC=infrasos,DC=com' | Format-List *

特定のオブジェクト属性の値を取得する:

[ADSI]"LDAP://DC=infrasos,DC=com" | Format-List ms-DS-MachineAccountQuota

LDAP検索フィルターを使用してAD内のオブジェクトを検索するためのADSI:

([ADSISearcher]'(&(objectCategory=computer)(operatingSystem=Windows Server 2019*)(primaryGroupID=516))').FindAll()

「パスワードの有効期限が切れない」ユーザーを検索する:

([ADSISearcher]'(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=66048))').FindAll()

ADSIインターフェースを使用して、ADオブジェクトの変更および作成も行うことができます。

$TargetOU = [adsi]'LDAP://DC=infrasos,DC=com'
$NewOU =$TargetOU.Create('organizationalUnit','ou=NewYork')
$NewOU.SetInfo()

PowerShellを使用してActive Directoryグループのメンバーを取得し、CSVにエクスポートする方法

ADSI Edit: ADSI Editを使用したActive Directoryの編集方法 結論

ADSI Editは、システム管理者にActive Directoryのオブジェクトや属性に対する深いアクセスと制御を提供する強力なツールです。ADUCは、Active Directoryを管理するためのユーザーフレンドリーなインターフェースを提供しますが、すべての必要な機能にアクセスできるわけではありません。ADSI Editを使用すると、一般に見えないオブジェクトや属性に対して低レベルの変更を行うことができるため、高度なトラブルシューティングや複雑な問題の修正が可能です。

Source:
https://infrasos.com/adsi-edit-how-to-edit-active-directory-using-adsi-edit/