ADSI Bewerken: Hoe Actieve Directory Bewerken Met ADSI Bewerken

Handleidingen
PowerShell

ADSI Bewerken: Hoe Active Directory Bewerken Met ADSI Bewerken. Ten eerste, biedt ADSI (Active Directory Service Interface Editor) Bewerken toegang tot en wijzigt de onderliggende en niet blootgestelde mapservice gegevens via ADUC (Active Directory Gebruikers en Computers). In dit artikel bespreken we het gebruik van ADSI Bewerken, inclusief hoe toegang te krijgen tot de tool, primaire navigatie, en alledaagse gebruiksscenario’s voor het maken van wijzigingen aan Active Directory objecten en attributen. Of we nu doorgewinterde systeem beheerders zijn of net beginnen, het begrijpen van hoe ADSI Bewerken te gebruiken helpt om de Active Directory beheer vaardigheden naar het volgende niveau te tillen.Ook Lezen Hoe Active Directory Wachtwoordbeleid Instellen en BeherenADSI: Hoe Active Directory Bewerken Met ADSI Bewerken

Lees ook Hoe instellen en beheren van Active Directory-wachtwoordbeleid

ADSI: Hoe Active Directory bewerken met ADSI Edit

Ten tweede, het ADSI (Active Directory Service Interface Editor) Edit-hulpprogramma is een MMC-snap-in. We gebruiken Active Directory Service Interfaces om verbinding te maken met andere Active Directory-databasepartities (NTDS.dit) of de LDAP server. Het ADSI Edit-hulpprogramma stelt ons ook in staat om attributen te bewerken, zoekopdrachten uit te voeren en items in Active Directory te maken, te wijzigen en te verwijderen.

Lees ook Bekijk onze Active Directory Direct Reports Tool (InfraSOS)

Vereisten

Belangrijk is dat de huidige Windows versies ADSIEdit.msc in Remote Server Administration Tools (RSAT) bevatten. Het ADSI-gereedschap maakt deel uit van het ADDS Snap-ins en Command Line Tools-pakket. Bekijk dit artikel voor instructies over het installeren van RSAT en meer informatie.

Daarom, na het installeren van de functie, druk op Win+R om het venster Run te openen en typ adsiedit.msc om ADSI-bewerking te openen. Alternatief kunnen we Beheergereedschappen onder het gedeelte System en Security van het Configuratiescherm openen.

Opmerking:Het ADSI Edit-snap-in in AD-bewerkingfuncties lijkt op de Windows-register editor. Daarom kunnen we sommige Windows-instellingen niet wijzigen met Groepsbeleid of de grafische gebruikersinterface. Daarom moet de beheerder af en toe wijzigingen aanbrengen in het Windows-register om een ingewikkeld probleem op te lossen.

Lees ook Get-MgUser – Zoek Azure AD-gebruikers en filter met PowerShell-script

Overzicht van het ADSI-hulpmiddel

Evenzo zijn er meer hulpmiddelen nodig om complexe Active Directory-problemen op te lossen dan alleen de Gebruikers en Computers snap-in of PowerShell cmdlets. Bijvoorbeeld, via ADSI Edit wijzigen we de AD-database rechtstreeks. Maar ADSI Edit gaat alle standaard AD-veiligheidsmaatregelen te boven. Dit betekent dat door het gebruik van adsiedit.msc om onjuiste AD-wijzigingen aan te brengen, we het risico lopen de AD-database te beschadigen of te wissen. Daarom adviseren we het activeren van Active Directory voor het gebruik van dit hulpmiddel vanwege dit risico.

Om te beginnen, klik je met de rechtermuisknop op het ADSI-hulpmiddel en selecteer je Verbinding. We selecteren een externe machine met een LDAP-database of een Verbindingspunt, Naamgevingscontext, uit dit menu. Als we de exacte Verbindingspunt Distinct Name of Naamgevingscontexten niet kennen, selecteren we een van de bekende Naamgevingscontexten:

  • Standaardnaamgevingscontext
  • Configuratie
  • RootDSE
  • Schema

We moeten de Use SSL-based Encryption optie selecteren als onze LDAP-server (of domeincontroller) een SSL-certificaat heeft om het LDAPS-protocol te gebruiken.

Kies verder ook de standaardnaamgevingscontext om het ADUC-achtige AD-overzicht te openen en klik op OK. Het linkerdeelvenster toont nu een gloednieuwe hoofdpagina die we kunnen uitbreiden. Zoals we zien, toont de ADSI Edit-terminal in deze modus de hiërarchische boomweergave van alle containers en Active Directory OUs in AD.

Vergeet niet dat na het klikken op het knooppunt alleen de Standaardnaamgevingscontext en de verschillende niveaus van de hiërarchie in ADSI Edit zichtbaar zijn. Bovendien zijn er console-gebaseerde AD-servicecontainers die we verbergen en die ADUC standaard niet kan weergeven. In de AD-hiërarchie kunnen we bijvoorbeeld elk object (computers, gebruikers, groepen) selecteren, wijzigen, verplaatsen, verwijderen en hernoemen.

Voor illustratie gaan we naar de OU met gebruikers, kiezen we een gebruiker en laten we een contextmenu zien met een lijst met beschikbare acties. Zoals we zien, resetten we het Active Directory gebruikerswachtwoord naast de gebruikelijke activiteiten met een AD-object (Verplaatsen, Creëren, Verwijderen, Hernoemen). Bovendien valt op dat de DN (Distinguished Name) en CN (Canonical Name) worden getoond in plaats van de objectnaam.

Ga naar het gewenste object en open de eigenschappen van het vereiste Active Directory-object om objecteigenschappen te bewerken met behulp van ADSI Bewerken.

Verbeteren van uw Active Directory Beveiliging & Azure AD

Probeer ons uit voor Gratis, Toegang tot alle functies. – 200+ AD-rapportage sjablonen beschikbaar. Maak gemakkelijk uw eigen AD-rapportages aan.




Lees ook Get-ADUser Filter OU – Lijst met gebruikers van een specifieke OU

Betekenis van ADSI

Hier zijn enkele redenen waarom we ADSI nodig hebben:

  1. Diepere Toegang en Controle: Hoewel het Active Directory Gebruikers en Computers (ADUC) hulpmiddel een gebruiksvriendelijke interface biedt om Active Directory te beheren, biedt het slechts toegang tot enkele noodzakelijke functionaliteit.
  2. Automatisering: We gebruiken ADSI om dagelijkse beheertaken te automatiseren, zoals het aanmaken en verwijderen van gebruikersaccounts, het opnieuw instellen van wachtwoorden en het wijzigen van groepslidmaatschappen. Dit proces is kostenefficiënt, bespaart tijd en vermindert de kans op menselijke fouten veroorzaakt door handmatige gegevensinvoer.
  3. Scripting: ADSI wordt gebruikt met scripttalen zoals VBScript en PowerShell om herhalende taken te automatiseren of complexe bewerkingen uit te voeren. Dit proces maakt het beheer van grote Active Directory omgevingen met veel objecten eenvoudiger.
  4. Integratie: ADSI integreert Active Directory met andere directoryservices of applicaties, zoals LDAP-directory’s, DNS servers en Exchange Server. Dit proces helpt organisaties om betere interoperabiliteit te bereiken en hun IT-infrastructuur te stroomlijnen.

Lees ook Active Directory Computer Rapporten maken met PowerShell

Weergave en bewerking van ADSI-attributen

De tab Attribute Editor in AD stelt ons in staat om de eigenschappen van een gebruiker te bekijken of aan te passen. Volgens de klasse van het object toont de ADSI Editor-console standaard alle attributen die het object in Active Directory heeft. In ADSI Edit kunnen zelfs attributen van een object niet in de ADUC-interface verschijnen.

Met de waarde “niet ingesteld” laten we zowel gevulde als lege attributen zien. De Filter-knop stelt ons in staat om te kiezen hoe objecteigenschappen weergegeven moeten worden.

De volgende filteropties zijn beschikbaar:

  • Toon alleen attributen met waarden – deze optie, zodra ingeschakeld, verbergt alle attributen met lege waarden;
  • Toon alleen schrijfbare attributen – toont alleen die attributen die we kunnen bewerken;
  • Toon verplichte attributen;
  • Toon optionele attributen;
  • Toon alleen-lezende attributen (Gebouwd, Terugverwijzingen of Systeem alleen).
Let op:

De Attribute Editor-tabblad in de ADUC-console gebruikers eigenschappen lijkt op dit tabblad.

Na het wijzigen van een attribuut door er dubbel op te klikken, een nieuwe waarde in te voeren en vervolgens de wijzigingen op te slaan.

Wees op de hoogte dat er verschillende gegevens typen zijn onder de kenmerken van objecten (Integer, String, MultiString, Time, enz.). Bijvoorbeeld, AD toont de waarden van de tijd / datum-gerelateerde eigenschappen in de ADSI Object Attribute Editor console in hun conventionele vorm. We zien dat ze nog steeds in de Active Directory database worden opgeslagen in Timestamp indeling als we proberen ze te wijzigen.

Vervolgens configureren we AD-instellingen met ADSI Edit die we op geen enkele andere manier kunnen configureren. Bijvoorbeeld, elke domein gebruiker voegt maximaal 10 computeraccounts toe aan het domein (zelfs zonder Domeinbeheerdersrechten). Het LDAP-kenmerk ms-DS-MachineAccountQuota, dat we alleen kunnen wijzigen met behulp van ADSI Edit, dient als onze definitie hiervoor (in de domeineigenschappen).

Hierna bekijken we enkele voorbeelden van activiteiten die we uitvoeren met de ADSIEdit-console.

Lees ook Get-MgUserMemberOf – Lijst met groepslidmaatschappen van Azure AD-gebruiker PowerShell

Verberg OU in Active Directory

Bijvoorbeeld, we kunnen het ADUC snap-in gebruiken om een OU (een van de AD-containers) te verbergen. Open vervolgens de eigenschappen van de OU en wijzig het kenmerk van False (of Niet ingesteld) naar True. Om de nieuwste versie van het AD-schema te controleren met ADSI Edit:

  1. Selecteer Schema als een bekende Naming Context;
  2. Uitbreiden Schema, klik rechts op het schema;
  3. Controleer de objectVersion waarde

4. De waarde komt overeen met de AD Schema versie in Windows Server 2012 R2.

We kunnen niet alleen ADSI in GUI beheren, maar ook programmatisch benaderen in PowerShell, waarover we in de volgende sectie bespreken.

Ook lezen DCDiag: Hoe u de gezondheid van de domeincontroller controleert met behulp van Powershell

AD beheren met behulp van de ADSI-adapter voor PowerShell

We gebruiken de ADSI-adapter in PowerShell om een verbinding tot stand te brengen met een LDAP AD. Hoewel er betere manieren zijn om AD te beheren (dan de PowerShell Active Directory module), zijn er situaties waarin we het moeten gebruiken, zoals via externe tools of aanmeldscripts. We moeten het LDAP-pad naar een AD-object specificeren om informatie hierover te ontvangen via de ADSI-interface:

[ADSI]'LDAP://CN=DC01,OU=Domain Controllers,DC=infrasos,DC=com'

Alle objectattributen weergeven:

[ADSI]'LDAP://CN=DC01,OU=Domain Controllers,DC=infrasos,DC=com' | Format-List *

We halen de waarde op van een specifiek objectattribuut:

[ADSI]"LDAP://DC=infrasos,DC=com" | Format-List ms-DS-MachineAccountQuota

We gebruiken LDAP-zoekfilters om objecten in AD te vinden via ADSI:

([ADSISearcher]'(&(objectCategory=computer)(operatingSystem=Windows Server 2019*)(primaryGroupID=516))').FindAll()

Gebruikers vinden met de instelling “Wachtwoord verloopt nooit”:

([ADSISearcher]'(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=66048))').FindAll()

De ADSI-interface stelt ons ook in staat om AD-objecten te wijzigen en te maken:

$TargetOU = [adsi]'LDAP://DC=infrasos,DC=com'
$NewOU =$TargetOU.Create('organizationalUnit','ou=NewYork')
$NewOU.SetInfo()

Ook lezen Krijg leden van Active Directory-groep en exporteer naar CSV met behulp van PowerShell

ADSI Bewerken: Hoe Active Directory bewerken met ADSI Bewerken Conclusie

Concluderend is ADSI Bewerken een krachtig hulpmiddel dat systeembeheerders dieper toegang en controle geeft over Active Directory objecten en attributen. Hoewel ADUC een gebruikersvriendelijke interface biedt voor het beheren van Active Directory, biedt het soms alleen toegang tot alle noodzakelijke functionaliteit. Met ADSI Bewerken kunnen beheerders wijzigingen op laag niveau aanbrengen in objecten en attributen die doorgaans onzichtbaar zijn, waardoor geavanceerde probleemoplossing en het oplossen van complexe problemen mogelijk is.

Source:
https://infrasos.com/adsi-edit-how-to-edit-active-directory-using-adsi-edit/