ADSI 편집: ADSI 편집을 사용하여 Active Directory 편집하는 방법

튜토리얼
PowerShell

ADSI 편집: ADSI 편집을 사용하여 Active Directory 편집하는 방법. 먼저, ADSI(Active Directory Service Interface Editor) 편집을 통해 ADUC(Active Directory 사용자 및 컴퓨터)를 통해 기본 디렉터리 서비스 데이터에 액세스하고 수정할 수 있습니다. 이 문서에서는 ADSI 편집의 사용 방법, 도구에 액세스하는 방법, 주요 탐색 및 변경 사항을 만드는 일상적인 사용 사례에 대해 설명합니다. 우리가 경험이 풍부한 시스템 관리자이든 막 시작한 시스템 관리자이든, ADSI 편집 사용 방법을 이해하는 것은 Active Directory 관리 기술을 더 높은 수준으로 끌어올리는 데 도움이 됩니다. 또한, 다음 글을 읽어보세요. Active Directory 암호 정책 설정 및 관리 방법ADSI: ADSI 편집을 사용하여 Active Directory 편집하는 방법

또한 읽으십시오 어떻게 설정하고 관리할 수 있는지 Active Directory 암호 정책

ADSI: Active Directory를 사용하여 ADSI Edit으로 편집하는 방법

둘째로, ADSI(Active Directory Service Interface Editor) Edit Tool은 MMC 스냅인입니다. 다른 Active Directory 데이터베이스 파티션(NTDS.dit) 또는 Active Directory 서비스 인터페이스를 사용하여 LDAP 서버에 연결합니다. LDAP. ADSI Edit 도구를 사용하면 특성을 편집하고, 검색을 수행하고, Active Directory에서 항목을 만들고, 수정하고, 삭제할 수 있습니다.

또한 읽으십시오 Active Directory Direct 보고서 도구(InfraSOS) 확인

사전 요구 사항

중요하게도, 현재 Windows 버전에는 원격 서버 관리 도구(RSAT)에 ADSIEdit.msc가 포함되어 있습니다. ADSI 도구는 ADDS 스낵-인 및 명령 줄 도구 패키지의 일부입니다. RSAT를 설치하는 방법에 대한 지침과 자세한 정보는 이 기사를 확인하세요.

따라서 기능을 설치한 후 Win+R을 눌러 실행 창을 열고 adsiedit.msc를 입력하여 ADSI 편집기를 열 수 있습니다. 또는 컨트롤 패널의 시스템 및 보안 섹션 아래에서 관리 도구에 액세스할 수 있습니다.

참고: ADSI Edit 스냅인은 AD 편집 기능이 Windows 레지스트리 편집기와 유사합니다. 따라서 그룹 정책이나 그래픽 사용자 인터페이스를 사용하여 일부 Windows 설정을 변경할 수 없습니다. 따라서 관리자는 복잡한 문제를 해결하기 위해 때때로 Windows 레지스트리에 직접 변경을 해야 합니다.

또한 읽으십시오 Get-MgUser – PowerShell 스크립트를 사용하여 Azure AD 사용자 찾기 및 필터링

ADSI 도구 개요

유사하게, 복잡한 활성 디렉토리 문제를 해결하기 위해 사용자컴퓨터 스냅인 또는 PowerShell cmdlet 만으로는 충분하지 않습니다. 예를 들어, ADSI 편집을 통해 직접 AD 데이터베이스를 변경할 수 있습니다. 그러나 ADSI 편집은 모든 표준 AD 안전 조치를 무시합니다. 이 과정은 adsiedit.msc를 사용하여 잘못된 AD 변경을 수행함으로써 AD 데이터베이스를 손상시키거나 삭제할 위험이 있다는 것을 의미합니다. 따라서 이 도구를 사용하기 전에 Active Directory를 백업하는 것이 좋습니다.

시작하려면 ADSI 도구를 우클릭하고 연결을 선택하십시오. LDAP 데이터베이스가 있는 원격 컴퓨터 또는 연결 지점, 명명 컨텍스트를 이 메뉴에서 선택합니다. 정확한 연결 지점 구별 이름 또는 명명 컨텍스트를 모르는 경우 알려진 명명 컨텍스트 중 하나를 선택합니다.

  • 기본 명명 컨텍스트
  • 구성
  • RootDSE
  • 스키마

우리는 우리의 LDAP 서버(또는도메인 컨트롤러)가SSL 인증서를 사용하여 LDAPS 프로토콜을 사용할 수 있도록 SSL 기반 암호화 사용 옵션을 선택해야 합니다.

또한 기본 네임 스페이스를 선택하여 ADUC와 유사한 AD 보기를 열고 OK를 누르십시오. 이제 왼쪽 창에 확장할 수 있는 새로운 루트 파티션이 표시됩니다. 보시다시피, 이 모드의 ADSI Edit 터미널에서는 AD의 모든 컨테이너와 Active DirectoryOU의 계층 구조 트리 뷰를 보여줍니다.

우리가 노드를 클릭한 후 기본 네임 스페이스와 ADSI Edit의 계층 구조의 다양한 수준이 보이는 것만 기억하십시오. 또한 ADUC가 기본적으로 표시할 수 없는 콘솔 기반 AD 서비스 컨테이너가 있습니다. 예를 들어 AD 계층 구조에서 어떤 개체(컴퓨터, 사용자,그룹)를 선택, 수정, 이동, 제거 및 이름을 변경할 수 있습니다.

설명을 위해 사용자들과 함께 OU(조직 단위)로 이동하여 사용자를 선택하고, 사용 가능한 작업 목록이 있는 컨텍스트 메뉴를 표시합니다. 보시다시피, 우리는 Active Directory 사용자 암호를 재설정하면서 AD 개체와 함께 일반적인 활동(이동, 생성, 삭제, 이름 변경)을 수행합니다. 또한 DN(구별 이름)과 CN(정규 이름)이 개체 이름 대신 표시되는 것을 관찰할 수 있습니다.

원하는 개체로 이동하여 ADSI 편집기를 사용하여 필요한 Active Directory 개체의 속성을 편집합니다.

Active Directory 보안 및 Azure AD 개선

무료로 시도해보세요, 모든 기능에 대한 액세스 – 200개 이상의 AD 보고서 템플릿 사용 가능. 쉽게 고유한 AD 보고서를 맞춤화하실 수 있습니다.




또한 읽어보십시오 Get-ADUser Filter OU – 특정 OU의 사용자 목록

ADSI의 중요성

다음은 ADSI가 필요한 이유 중 일부입니다:

  1. 더 깊은 접근 및 제어: Active Directory 사용자 및 컴퓨터(ADUC) 도구는 Active Directory를 관리하기 위한 사용자 친화적인 인터페이스를 제공하지만, 필요한 기능에 대한 접근만 제공합니다.
  2. 자동화: 우리는 ADSI를 사용하여 만들기 및 삭제 사용자 계정, 재설정 비밀번호, 그룹 멤버십 수정과 같은 일상적인 관리 작업을 자동화합니다. 이 과정은 비용 효율적이며 시간을 절약하고 수동 데이터 입력으로 인한 인간의 오류가 발생할 가능성을 줄입니다.
  3. 스크립팅: ADSI는 VBScript 및 PowerShell과 같은 스크립팅 언어와 함께 사용되어 반복적인 작업을 자동화하거나 복잡한 작업을 수행합니다. 이 과정은 많은 개체가 있는 큰 Active Directory 환경을 관리하는 것을 더 쉽게 만듭니다.
  4. 통합: ADSI는 Active Directory를 LDAP 디렉터리, DNS 서버 및 Exchange Server와 같은 다른 디렉터리 서비스 또는 응용 프로그램과 통합합니다. 이 과정은 조직이 더 나은 상호 운용성을 달성하고 IT 인프라를 간소화하는 데 도움이 됩니다.

또한 읽으십시오 PowerShell을 사용하여 Active Directory 컴퓨터 보고서 생성

ADSI 속성 보기 및 편집

속성 편집기 탭은 AD에서 사용자 속성을 검사하거나 수정할 수 있게 해줍니다. 객체의 클래스에 따라 ADSI 편집기 콘솔은 기본적으로 Active Directory에 있는 객체의 모든 속성을 표시합니다. ADSI 편집기에서는 ADUC 인터페이스에 나타나지 않는 객체의 속성도 표시됩니다.

값이 “설정되지 않음”으로 표시되면 채워진 속성과 빈 속성이 모두 표시됩니다. 필터 버튼을 사용하면 객체 속성을 표시하는 방법을 선택할 수 있습니다.

다음과 같은 필터 옵션이 사용 가능합니다.

  • 값이 있는 속성만 표시 – 이 옵션을 사용하면 빈 값을 가진 모든 속성이 숨겨집니다;
  • 쓰기 가능한 속성만 표시 – 편집할 수 있는 속성만 표시합니다;
  • 필수 속성 표시;
  • 선택적 속성 표시;
  • 읽기 전용 속성 표시 (구축된 것, 백링크 또는 시스템만).
참고:

ADUC 콘솔 사용자 속성의 속성 편집기 탭은 이 탭과 유사합니다.

그 후, 속성을 더블 클릭하여 변경한 다음, 새 값을 입력하고 변경 사항을 저장합니다.

유저님, 객체의 특성 중에는 여러 가지 데이터 유형이 있습니다(정수, 문자열, 다중 문자열, 시간 등). 예를 들어, AD는 ADSI 객체 속성 편집기 콘솔에서 시간/날짜 관련 속성의 값을 기본 형식으로 표시합니다. 이를 수정하려고 시도하면 여전히 디렉토리 데이터베이스에 저장되어 있음을 타임스탬프 형식으로 알 수 있습니다.

다음으로, 다른 방법으로는 구성할 수 없는 AD 설정을 ADSI 편집으로 구성합니다. 예를 들어, 도메인 관리자 권한 없이도 도메인 사용자가 도메인에 최대 10개의 컴퓨터 계정을 추가할 수 있습니다(도메인 관리자 권한 없이도). ADSI 편집을 사용하여만 수정할 수 있는 LDAP 속성 ms-DS-MachineAccountQuota는 이를 정의합니다(도메인 속성에서).
그 후, ADSIEdit 콘솔로 수행하는 몇 가지 작업의 예를 살펴보겠습니다.

또한 읽으십시오 Get-MgUserMemberOf – Azure AD 사용자 PowerShell의 그룹 멤버십 목록

Active Directory에서 OU 숨기기

예를 들어, ADUC 스냅인을 사용하여 AD 컨테이너 중 하나인 OU(조직 단위)를 숨길 수 있습니다. 그런 다음 OU 속성을 열고 거짓(또는 설정되지 않음)에서 참으로 속성을 변경합니다. ADSI 편집기를 사용하여 AD 스키마의 최신 버전을 확인하려면:

  1. 선택스키마잘 알려진 명명 컨텍스트로.
  2. 스키마를 확장하고 스키마를 마우스 오른쪽 버튼으로 클릭합니다;
  3. 확인objectVersion

4.값은 AD 스키마 버전과 일치합니다. Windows Server 2012 R2에서.

우리는 뿐만 아니라 GUI에서 ADSI를 관리할 수 있지만 다음 섹션에서 논의할 PowerShell에서 프로그래밍 방식으로 접근할 수도 있습니다.

또한 읽기: PowerShell을 사용하여 도메인 컨트롤러 상태를 확인하는 DCDiag

PowerShell을 사용하여 ADSI 어댑터로 AD 관리

우리는 PowerShell에서 ADSI 어댑터를 사용하여 LDAP AD에 연결을 설정합니다. AD를 관리하기 위한 더 좋은 방법들이 있지만 (PowerShell Active Directory 모듈보다), 외부 도구나 로그온 스크립트와 같은 경우에는 사용해야 할 때가 있습니다. ADSI 인터페이스를 사용하여 AD 개체에 대한 LDAP 경로를 지정해야 합니다. 이를 통해 관련 정보를 받을 수 있습니다:

[ADSI]'LDAP://CN=DC01,OU=Domain Controllers,DC=infrasos,DC=com'

모든 개체 속성 나열:

[ADSI]'LDAP://CN=DC01,OU=Domain Controllers,DC=infrasos,DC=com' | Format-List *

특정 개체 속성의 값을 가져옵니다:

[ADSI]"LDAP://DC=infrasos,DC=com" | Format-List ms-DS-MachineAccountQuota

ADSI를 통해 LDAP 검색 필터를 사용하여 AD에서 개체를 찾습니다:

([ADSISearcher]'(&(objectCategory=computer)(operatingSystem=Windows Server 2019*)(primaryGroupID=516))').FindAll()

“암호 만료 없음”으로 설정된 사용자 찾기:

([ADSISearcher]'(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=66048))').FindAll()

ADSI 인터페이스를 사용하여 AD 개체를 수정하고 생성할 수도 있습니다.

$TargetOU = [adsi]'LDAP://DC=infrasos,DC=com'
$NewOU =$TargetOU.Create('organizationalUnit','ou=NewYork')
$NewOU.SetInfo()

또한 읽기 PowerShell을 사용하여 Active Directory 그룹의 멤버 가져오기 및 CSV로 내보내기

ADSI 편집: ADSI 편집을 사용하여 Active Directory 편집하는 방법 결론

결론적으로, ADSI 편집은 시스템 관리자에게 Active Directory 객체와 속성에 대한 더 깊은 접근과 제어를 제공하는 강력한 도구입니다. ADUC는 사용자 친화적인 인터페이스를 제공하여 Active Directory를 관리하지만, 모든 필요한 기능에 대한 액세스를 제공하는 것은 아닙니다. ADSI 편집을 사용하면 일반적으로 보이지 않는 객체와 속성에 대한 저수준 변경이 가능하며, 고급 문제 해결과 복잡한 문제 수정이 가능합니다.

Source:
https://infrasos.com/adsi-edit-how-to-edit-active-directory-using-adsi-edit/