ADSI Edit: Como Editar o Active Directory Usando o ADSI Edit

Tutoriais
PowerShell

ADSI Edit: Como editar o Active Directory usando o ADSI Edit. Primeiramente, o ADSI (Active Directory Service Interface Editor) Edit permite acessar e modificar os dados do serviço de diretório subjacente e não exposto através do ADUC (Active Directory Usuários e Computadores). Neste artigo, discutimos o uso do ADSI Edit, incluindo como acessar a ferramenta, navegação primária e casos de uso cotidiano para fazer alterações nos objetos e atributos do Active Directory. Sejamos administradores de sistema experientes ou apenas iniciantes, entender como usar o ADSI Edit ajuda a levar as habilidades de gerenciamento do Active Directory para o próximo nível. Também leia Como Configurar e Gerenciar a Política de Senhas do Active DirectoryADSI: Como Editar o Active Directory Usando o ADSI Edit

Leia Também Como Configurar e Gerenciar a Política de Senha do Active Directory

ADSI: Como Editar o Active Directory Usando a Ferramenta ADSI Edit

Em segundo lugar, a ferramenta ADSI (Active Directory Service Interface Editor) Edit é um snap-in do MMC. Utilizamos as Interfaces de Serviço do Active Directory para nos conectar a outras partições do banco de dados do Active Directory (NTDS.dit) ou ao servidor LDAP. A ferramenta ADSI Edit também nos permite editar atributos, realizar pesquisas e criar, modificar e excluir itens no Active Directory.

Leia Também Confira Nossa Ferramenta de Relatórios Diretos do Active Directory (InfraSOS)

Pré-requisitos

Importante, as versões atuais do Windows incluem o ADSIEdit.msc nos Ferramentas de Administração do Servidor Remoto (RSAT). A ferramenta ADSI faz parte do pacote de ferramentas de linha de comando e inserções ADDS. Consulte este artigo para obter instruções sobre a instalação do RSAT e mais informações.

Portanto, após instalar o recurso, pressione Win+R para abrir a janela Executar e digite adsiedit.msc para abrir o ADSI Edit. Alternativamente, podemos acessar as Ferramentas Administrativas no painel de controle na seção Segurança e Sistema.

Nota: O snap-in ADSI Edit na edição de AD tem funcionalidade semelhante ao editor de registro do Windows. Como resultado, não podemos alterar algumas configurações do Windows usando Políticas de Grupo ou a interface gráfica do usuário. Como resultado, o administrador ocasionalmente precisa fazer alterações diretamente no registro do Windows para resolver um problema complexo.

Leia também Get-MgUser – Encontre Usuários do Azure AD e Filtre usando Script do PowerShell

Visão geral da Ferramenta ADSI

Da mesma forma, são necessários mais ferramentas para resolver problemas complexos do Active Directory do que apenas o Usuários e Computadores snappin ou cmdlets do PowerShell. Por exemplo, por meio do ADSI Edit, alteramos diretamente o banco de dados do AD. Mas o ADSI Edit ultrapassa todas as medidas de segurança padrão do AD. Isso significa que ao usar adsiedit.msc para fazer alterações errôneas no AD, corremos o risco de danificar ou apagar nosso banco de dados do AD. Por isso, recomendamos fazer backup do Active Directory antes de usar essa ferramenta por causa disso.

Para começar, clique com o botão direito na ferramenta ADSI e selecione Conectar. Selecionamos uma máquina remota com um banco de dados LDAP ou um ponto de conexão, contexto de nomenclatura, a partir deste menu. Se não sabemos o nome de conexão exato, nome distinto ou contextos de nomenclatura, selecionamos um dos contextos de nomenclatura conhecidos:

  • contexto de nomenclatura padrão
  • Configuração
  • RootDSE
  • Esquema

Devemos selecionar a opção Uso de Criptografia Baseada em SSL se o nosso servidor LDAP (ou controlador de domínio) possuir um certificado SSL para usar o protocolo LDAPS.

Além disso, por favor, escolha o contexto de nomeação padrão para abrir a visualização do ADUC semelhante ao AD e clique em OK. Agora, a parte esquerda exibe uma nova partição raiz que podemos estender. Como podemos ver, o terminal do ADSI Edit nesse modo mostra a visualização da árvore hierárquica de todos os contêineres e unidades organizacionais do Active Directory (OU) no AD.

Lembre-se de que depois de clicarmos no nó, o Contexto de Nomeação Padrão e os diferentes níveis da hierarquia no ADSI Edit são visíveis apenas. Além disso, existem contêineres de serviços de AD baseados em console que ocultamos e que o ADUC, por padrão, não pode mostrar. Na hierarquia do AD, por exemplo, podemos selecionar, modificar, mover, remover e renomear quaisquer objetos (computadores, usuários, grupos).

Para ilustração, vamos para a Unidade Organizacional (OU) com usuários, escolhemos um usuário e mostramos um menu de contexto com uma lista de ações disponíveis. Como vemos, redefinimos a senha do usuário do Active Directory além das atividades comuns com um objeto do AD (Mover, Criar, Excluir, Renomear). Além disso, observe que o DN (Nome Distinto) e o CN (Nome Canônico) são mostrados em vez do nome do objeto.

Vá para o objeto desejado e abra as propriedades do objeto do Active Directory necessário para editar as propriedades do objeto usando ADSI Edit.

Melhore sua Segurança do Active Directory & Azure AD

Experimente-nos de graça, Acesso a todos os recursos. – 200+ modelos de relatórios do AD disponíveis. Personalize facilmente seus próprios relatórios do AD.




Leia também Get-ADUser Filter OU – Liste Usuários de uma OU Específica

Importância do ADSI

Aqui estão algumas razões pelas quais precisamos do ADSI:

  1. Acesso e Controle Aprofundados: Embora a ferramenta Active Directory Usuários e Computadores (ADUC) ofereça uma interface amigável para gerenciar o Active Directory, ela oferece apenas acesso a algumas funcionalidades essenciais.
  2. Automatização: Utilizamos o ADSI para automatizar tarefas administrativas diárias, como a criação e exclusão de contas de usuário, redefinição de senhas e modificação de associações de grupos. Esse processo é econômico, economiza tempo e reduz a probabilidade de erros humanos causados por entrada de dados manual.
  3. Scripting: O ADSI é utilizado com linguagens de script, como VBScript e PowerShell, para automatizar tarefas repetitivas ou executar operações complexas. Esse processo facilita a gestão de grandes ambientes de Active Directory com muitos objetos.
  4. Integração: O ADSI integra o Active Directory com outros serviços de diretório ou aplicativos, como diretórios LDAP, servidores DNS e Exchange Server. Esse processo ajuda as organizações a alcançar melhor interoperabilidade e agilizar sua infraestrutura de TI.

Leia também Crie relatórios de computadores do Active Directory com PowerShell

Visualização e edição de atributos ADSI

A guia Atributos Editor no AD nos permite examinar ou modificar as propriedades de qualquer usuário. De acordo com a classe do objeto, o console ADSI Editor, por padrão, mostra todos os atributos que o objeto possui no Active Directory. No ADSI Edit, mesmo os atributos de um objeto não aparecem na interface ADUC.

Com o valor “não definido”, mostramos atributos preenchidos e vazios. O botão Filtro nos permite escolher como mostrar as propriedades do objeto.

As seguintes opções de filtro estão disponíveis:

  • Mostrar apenas atributos que têm valores — esta opção, quando habilitada, oculta todos os atributos com valores vazios;
  • Mostrar apenas atributos graváveis — exibe apenas os atributos que podemos editar;
  • Mostrar atributos obrigatórios;
  • Mostrar atributos opcionais;
  • Mostrar atributos somente leitura (Construídos, Rastros, ou Sistemas apenas).
Nota:

A guia Atributos Editor na propriedade do usuário do console ADUC é semelhante a esta guia.

Depois, alteramos qualquer atributo clicando duas vezes nele, inserindo um novo valor e, em seguida, salvando as alterações.

Tenha em mente que existem vários tipos de dados entre as características dos objetos (Integer, String, MultiString, Time, etc.). Por exemplo, AD mostra os valores das propriedades relacionadas ao tempo/data no console do Editor de Atributos de Objeto ADSI em sua forma convencional. Vemos que eles ainda são armazenados no banco de dados Active Directory em formato Timestamp se tentarmos modificá-los.

Em seguida, configuramos as configurações do AD com o ADSI Edit que não podemos configurar de outra maneira. Por exemplo, qualquer usuário de domínio adiciona até 10 contas de computador ao domínio (mesmo sem direitos de Administração de Domínio). O atributo LDAP ms-DS-MachineAccountQuota, que só podemos modificar usando o ADSI Edit, serve como nossa definição para isso (nas propriedades do domínio).

Depois disso, examinamos alguns exemplos de ações que tomamos com o console ADSIEdit.

Leia também Get-MgUserMemberOf – Lista de Membros de Grupo do Usuário do Azure AD PowerShell

Ocultar OU no Active Directory

Por exemplo, poderíamos usar o snap-in ADUC para ocultar a OU (um dos contêineres do AD). Em seguida, abra as propriedades da OU e altere o atributo de Falso (ou Não Definido) para Verdadeiro. Para verificar a versão mais recente do esquema AD usando o ADSI Edit:

  1. Selecione Schema como um Nome Conhecido de Contexto de Nomeação;
  2. Expanda Schema, clique com o botão direito no esquema;
  3. Verifique o objectVersion valor

4. O valor corresponde à versão do esquema AD no Windows Server 2012 R2.

Não só podemos gerenciar o ADSI no GUI, mas também podemos abordá-los programaticamente no PowerShell, o que discutimos na próxima seção.

Também leia DCDiag: Como verificar a saúde do controlador de domínio usando o Powershell

Gerenciar o AD usando o Adaptador ADSI para PowerShell

Usamos o adaptador ADSI no PowerShell para estabelecer uma conexão com um AD LDAP. Embora existam maneiras melhores de administrar o AD (do que o módulo PowerShell do Active Directory), há ocasiões em que precisamos usá-lo, como por meio de ferramentas externas ou scripts de logon. Devemos especificar o caminho LDAP para um objeto AD para receber informações sobre ele usando a interface ADSI:

[ADSI]'LDAP://CN=DC01,OU=Domain Controllers,DC=infrasos,DC=com'

Listar todos os atributos do objeto:

[ADSI]'LDAP://CN=DC01,OU=Domain Controllers,DC=infrasos,DC=com' | Format-List *

Obter o valor de um atributo específico do objeto:

[ADSI]"LDAP://DC=infrasos,DC=com" | Format-List ms-DS-MachineAccountQuota

Usamos filtros de pesquisa LDAP para encontrar objetos no AD via ADSI:

([ADSISearcher]'(&(objectCategory=computer)(operatingSystem=Windows Server 2019*)(primaryGroupID=516))').FindAll()

Encontrar usuários com a configuração “Senha nunca Expira“:

([ADSISearcher]'(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=66048))').FindAll()

A interface ADSI também nos permite modificar e criar objetos AD:

$TargetOU = [adsi]'LDAP://DC=infrasos,DC=com'
$NewOU =$TargetOU.Create('organizationalUnit','ou=NewYork')
$NewOU.SetInfo()

Também leia Obter Membros do Grupo do Active Directory e Exportar para CSV usando PowerShell

ADSI Edit: Como Editar o Active Directory Usando ADSI Edit Conclusão

Em conclusão, o ADSI Edit é uma ferramenta poderosa que dá aos administradores de sistema um acesso mais profundo e controle sobre os objetos e atributos do Active Directory. Enquanto o ADUC oferece uma interface amigável para gerenciar Active Directory, às vezes pode fornecer acesso apenas a funcionalidades necessárias. Com o ADSI Edit, os administradores podem fazer alterações de baixo nível em objetos e atributos que geralmente são invisíveis, permitindo solução avançada de problemas e correção de questões complexas.

Source:
https://infrasos.com/adsi-edit-how-to-edit-active-directory-using-adsi-edit/