ADSI Edit: Como Editar o Active Directory Usando o ADSI Edit

Tutoriais
PowerShell

ADSI Edit: Como Editar o Active Directory Usando o ADSI Edit. Em primeiro lugar, o ADSI (Active Directory Service Interface Editor) Edit permite acessar e modificar os dados subjacentes e não expostos do serviço de diretório através do ADUC (Active Directory Usuários e Computadores). Neste artigo, discutimos o uso do ADSI Edit, incluindo como acessar a ferramenta, navegação principal e casos de uso diário para fazer alterações nos objetos e atributos do Active Directory. Seja um administrador de sistema experiente ou esteja apenas começando, entender como usar o ADSI Edit ajuda a elevar as habilidades de gerenciamento do Active Directory para o próximo nível.Também leia Como Configurar e Gerenciar a Política de Senhas do Active DirectoryADSI: Como Editar o Active Directory Usando o ADSI Edit

Leia também Como configurar e gerenciar a Política de Senha do Active Directory

ADSI: Como Editar o Active Directory Usando a Ferramenta ADSI Edit

Em segundo lugar, a ferramenta ADSI (Active Directory Service Interface Editor) Edit é um snap-in do MMC. Utilizamos as Interfaces de Serviço do Active Directory para nos conectar a outras partições do banco de dados do Active Directory (NTDS.dit) ou ao servidor LDAP. A ferramenta ADSI Edit também nos permite editar atributos, realizar pesquisas e criar, modificar e excluir itens no Active Directory.

Leia também Confira nossa Ferramenta de Relatórios Diretos do Active Directory (InfraSOS)

Pré-requisitos

Importante, as versões atuais do Windows incluem o ADSIEdit.msc nos Ferramentas de Administração do Servidor Remoto (RSAT). A ferramenta ADSI faz parte do pacote de Snap-ins e Ferramentas de Linha de Comando do ADDS. Confira este artigo para obter instruções sobre a instalação do RSAT e mais informações.

Portanto, após instalar o recurso, pressione Win+R para abrir a janela Executar e digite adsiedit.msc para abrir o ADSI Edit. Alternativamente, podemos acessar Ferramentas Administrativas na seção Sistema e Segurança do Painel de Controle.

Nota: O snap-in do ADSI Edit na edição de funcionalidade do AD se assemelha ao editor de registro do Windows. Como resultado, não podemos alterar algumas configurações do Windows usando Políticas de Grupo ou a interface gráfica do usuário. Como resultado, o administrador ocasionalmente precisa fazer alterações diretamente no registro do Windows para resolver um problema complexo.

Leia também Get-MgUser – Encontre Usuários do Azure AD e Filtrar usando Script do PowerShell

Visão geral da Ferramenta ADSI

Da mesma forma, são necessários mais ferramentas para resolver problemas complexos do Active Directory do que apenas o snap-in Usuários e Computadores ou cmdlets do PowerShell. Por exemplo, por meio do ADSI Edit, alteramos diretamente o banco de dados do AD. Mas o ADSI Edit ultrapassa todas as medidas de segurança padrão do AD. Isso significa que ao usar adsiedit.msc para fazer alterações errôneas no AD, corremos o risco de danificar ou apagar nosso banco de dados do AD. Por isso, recomendamos fazer backup do Active Directory antes de usar essa ferramenta.

Para começar, clique com o botão direito na ferramenta ADSI e selecione Conectar. Selecionamos uma máquina remota com um banco de dados LDAP ou um ponto de conexão, contexto de nomenclatura, a partir deste menu. Se não sabemos o nome de conexão exato, nome distinguido ou contextos de nomenclatura, selecionamos um dos contextos de nomenclatura conhecidos:

  • Contexto de nomenclatura padrão
  • Configuração
  • RootDSE
  • Esquema

Devemos selecionar a opção Uso de Criptografia Baseada em SSL se o nosso servidor LDAP (ou controlador de domínio) possuir um certificado SSL para usar o protocolo LDAPS.

Além disso, por favor, escolha o contexto de nomenclatura padrão para abrir a visualização do ADUC semelhante ao AD e clique em OK. Agora, a parte esquerda exibe uma nova partição raiz que podemos estender. Como vemos, o terminal do ADSI Edit nesta modalidade mostra a visualização em árvore hierárquica de todos os contêineres e unidades organizacionais do Active Directory (OU) no AD.

Lembre-se de que, depois de clicarmos no nó, somente o Contexto de Nomenclatura Padrão e os diferentes níveis da hierarquia no ADSI Edit são visíveis. Ademais, existem contêineres de serviço de AD baseados em console que escondemos e que o ADUC, por padrão, não consegue mostrar. Na hierarquia do AD, por exemplo, podemos selecionar, modificar, mover, remover e renomear quaisquer objetos (computadores, usuários, grupos).

Para ilustração, vamos ao OU com usuários, escolhemos um usuário e mostramos um menu de contexto com uma lista de ações disponíveis. Como vemos, redefinimos a senha do Active Directory do usuário, além das atividades habituais com um objeto AD (Mover, Criar, Excluir, Renomear). Além disso, observe que o DN (Nome Distinto) e o CN (Nome Canônico) são mostrados em vez do nome do objeto.

Vá para o objeto desejado e abra as propriedades do objeto Active Directory necessário para editar as propriedades do objeto usando ADSI Edit.

Melhore sua Segurança do Active Directory & Azure AD

Experimente-nos de graça, Acesso a todos os recursos. – Mais de 200 modelos de relatórios AD disponíveis. Personalize facilmente seus próprios relatórios AD.




Leia também Get-ADUser Filter OU – Lista de Usuários de um OU Específico

Importância do ADSI

Aqui estão algumas razões pelas quais precisamos do ADSI:

  1. Acesso e Controle Aprofundados: Enquanto a ferramenta Active Directory Usuários e Computadores (ADUC) oferece uma interface amigável para gerenciar o Active Directory, ela fornece apenas acesso a algumas funcionalidades essenciais.
  2. Automação: Utilizamos o ADSI para automatizar tarefas administrativas diárias, como criar e excluir contas de usuário, redefinir senhas e modificar associações de grupos. Esse processo é econômico, economiza tempo e reduz a probabilidade de erros humanos causados por entrada de dados manual.
  3. Scripting: O ADSI é utilizado com linguagens de script como VBScript e PowerShell para automatizar tarefas repetitivas ou executar operações complexas. Esse processo torna mais fácil gerenciar grandes ambientes do Active Directory com muitos objetos.
  4. Integração: O ADSI integra o Active Directory com outros serviços de diretório ou aplicativos, como diretórios LDAP, servidores DNS e Exchange Server. Esse processo ajuda as organizações a alcançar melhor interoperabilidade e a otimizar sua infraestrutura de TI.

Leia também Criar Relatórios de Computadores do Active Directory com PowerShell

Visualização e Edição de Atributos ADSI

A guia Atributos Editor no AD nos permite examinar ou modificar quaisquer propriedades de usuário. De acordo com a classe do objeto, o console ADSI Editor, por padrão, mostra todos os atributos que o objeto possui no Active Directory. No ADSI Edit, mesmo atributos de um objeto não aparecem na interface ADUC.

Ao exibir com o valor “não definido”, mostramos atributos preenchidos e vazios. O botão Filtro nos permite escolher como mostrar as propriedades do objeto.

As seguintes opções de filtro estão disponíveis:

  • Mostrar apenas atributos que têm valores – esta opção, quando habilitada, oculta todos os atributos com valores vazios;
  • Mostrar apenas atributos graváveis – exibe apenas os atributos que podemos editar;
  • Mostrar atributos obrigatórios ;
  • Mostrar atributos opcionais ;
  • Mostrar atributos somente leitura (Apenas construídos, backlinks ou sistema).

Observe:

A guia Atributos Editor na propriedade de usuário do console ADUC é semelhante a essa guia.


Depois, alteramos qualquer atributo clicando duas vezes nele, inserindo um novo valor e, em seguida, salvando as alterações.

Por favor, esteja ciente de que existem vários tipos de dados entre as características dos objetos (Integer, String, MultiString, Time, etc.). Por exemplo, AD mostra os valores das propriedades relacionadas à data/hora no console do Editor de Atributos de Objeto ADSI em sua forma convencional. Vemos que eles ainda são armazenados no banco de dados do Active Directory em Timestamp format se tentarmos modificá-los.

Em seguida, configuramos as configurações do AD com o ADSI Edit que não podemos configurar de qualquer outra maneira. Por exemplo, qualquer domínio usuário adiciona até 10 contas de computador ao domínio (mesmo sem direitos de administrador de domínio). O atributo LDAP ms-DS-MachineAccountQuota, que só podemos modificar usando o ADSI Edit, serve como nossa definição para isso (nas propriedades do domínio).

Depois disso, examinamos alguns exemplos de atividades que realizamos com o console ADSIEdit.

Leia também Get-MgUserMemberOf – List Group Memberships of Azure AD User PowerShell

Esconda OU no Active Directory

Por exemplo, poderíamos usar o snap-in ADUC para ocultar a OU (um dos contêineres do AD). Em seguida, abra as propriedades da OU e altere o atributo de False (ou Não Definido) para True. Para verificar a versão mais recente do esquema AD usando o ADSI Edit:

  1. Selecione Schema como um bem conhecido Nome de Contexto;
  2. Expanda Schema, clique com o botão direito no esquema;
  3. Verifique o objectVersion valor

4. O valor corresponde à versão do Esquema AD no Windows Server 2012 R2.

Não só podemos gerenciar o ADSI no GUI, mas também podemos abordá-los de forma programática no PowerShell, o que discutimos na próxima seção.

Também leia DCDiag: Como verificar a saúde do controlador de domínio usando o Powershell

Gerenciar o AD usando o Adaptador ADSI para o PowerShell

Usamos o adaptador ADSI no PowerShell para estabelecer uma conexão com um AD LDAP. Embora existam maneiras melhores de administrar o AD (do que o módulo PowerShell do Active Directory), há ocasiões em que devemos usá-lo, como por meio de ferramentas externas ou scripts de login. Devemos especificar o caminho LDAP para um objeto AD para receber informações sobre ele usando a interface ADSI:

[ADSI]'LDAP://CN=DC01,OU=Domain Controllers,DC=infrasos,DC=com'

Listar todos os atributos do objeto:

[ADSI]'LDAP://CN=DC01,OU=Domain Controllers,DC=infrasos,DC=com' | Format-List *

Obter o valor de um atributo específico do objeto:

[ADSI]"LDAP://DC=infrasos,DC=com" | Format-List ms-DS-MachineAccountQuota

Usamos filtros de pesquisa LDAP para encontrar objetos no AD via ADSI:

([ADSISearcher]'(&(objectCategory=computer)(operatingSystem=Windows Server 2019*)(primaryGroupID=516))').FindAll()

Encontrar usuários com a configuração “Senha nunca expira“:

([ADSISearcher]'(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=66048))').FindAll()

A interface ADSI também nos permite modificar e criar objetos AD:

$TargetOU = [adsi]'LDAP://DC=infrasos,DC=com'
$NewOU =$TargetOU.Create('organizationalUnit','ou=NewYork')
$NewOU.SetInfo()

Leia também Obtenha Membros de Grupo do Active Directory e Exporte para CSV usando o PowerShell

ADSI Edit: Como Editar o Active Directory Usando o ADSI Edit Conclusão

Em conclusão, o ADSI Edit é uma ferramenta poderosa que oferece aos administradores de sistema um acesso mais profundo e controle sobre objetos e atributos do Active Directory. Enquanto o ADUC fornece uma interface amigável para gerenciar o Active Directory, às vezes pode fornecer acesso apenas a parte da funcionalidade necessária. Com o ADSI Edit, os administradores podem fazer alterações em nível baixo em objetos e atributos que geralmente são invisíveis, permitindo solução avançada de problemas e correção de problemas complexos.

Source:
https://infrasos.com/adsi-edit-how-to-edit-active-directory-using-adsi-edit/