ADSI Edit: Как редактировать Active Directory с помощью ADSI Edit

Учебники
PowerShell

ADSI Edit: Как редактировать Active Directory с использованием ADSI Edit. Во-первых, ADSI (Active Directory Service Interface Editor) Edit позволяет получить доступ и изменить основные и непоказанные данные службы каталогов через ADUC (Active Directory Пользователи и Компьютеры). В этой статье мы обсудим использование ADSI Edit, включая способы доступа к инструменту, основную навигацию и ежедневные сценарии использования для внесения изменений в Active Directory объекты и атрибуты. Независимо от того, являемся ли мы опытными системными администраторами или только начинающими, понимание того, как использовать ADSI Edit, помогает перейти к следующему уровню навыков управления Active Directory. Администрирование. Также читайте Как настроить и управлять политикой паролей в Active DirectoryADSI: Как редактировать Active Directory с использованием ADSI Edit

Также читайте Как настроить и управлять политикой паролей Active Directory

ADSI: Как редактировать Active Directory с помощью редактора ADSI

Во-вторых, инструмент редактирования ADSI (редактор интерфейса службы каталога Active Directory) является расширением MMC. Мы используем Active Directory Service Interfaces для подключения к другим разделам базы данных Active Directory (NTDS.dit) или к LDAP серверу. Инструмент ADSI Edit также позволяет нам редактировать атрибуты, выполнять поиск, а также создавать, изменять и удалять элементы в Active Directory.

Также читайте Проверьте наш инструмент отчетности Active Directory Direct Reports Tool (InfraSOS)

Необходимые условия

Важно отметить, что современные версии Windows включают в себя ADSIEdit.msc в удаленных серверных инструментах администрирования (RSAT). Инструмент ADSI является частью пакета ADDS Snap-ins и командной строки инструментов. Ознакомьтесь с этим статьей для получения инструкций по установке RSAT и дополнительной информации.

Таким образом, после установки функции нажмите Win+R для вызова окна запуска и введите adsiedit.msc для открытия редактора ADSI. В качестве альтернативы мы можем получить доступ к Административным инструментам в разделе Система и безопасность Панели управления.

Примечание: Сниппет ADSI Edit для функционала редактирования AD напоминает редактор реестра Windows. В результате мы не можем изменить некоторые параметры Windows с помощью Политик групп или графического интерфейса пользователя. В результате администратору иногда необходимо вносить изменения непосредственно в реестр Windows для решения сложной проблемы.

Также читайте Get-MgUser – Найти пользователей Azure AD и отфильтровать с помощью скрипта PowerShell

Обзор инструмента ADSI

Аналогично, для решения сложных проблем с Active Directory требуется больше инструментов, чем только встроенные модули Пользователи и Компьютеры или командлеты PowerShell. Например, с помощью ADSI Edit мы можем непосредственно изменять базу данных AD. Однако ADSI Edit выходит за рамки всех стандартных мер безопасности AD. В результате использование adsiedit.msc для совершения ошибочных изменений в AD может привести к повреждению или удалению нашей базы данных AD. Поэтому мы рекомендуем создать резервную копию Active Directory перед использованием этого инструмента из-за этого.

Для начала щелкните правой кнопкой мыши инструмент ADSI и выберите Подключиться. Выбираем удаленный компьютер с базой данных LDAP или точкой соединения, именем контекста, из этого меню. Если мы не знаем точное имя контекста точки соединения или контексты именования, выбираем один из известных контекстов именования:

  • По умолчанию контекст именования
  • Конфигурация
  • RootDSE
  • Схема

Нам необходимо выбрать опцию Использование шифрования на основе SSL, если наш сервер LDAP (или контроллер домена) имеет сертификат SSL для использования протокола LDAPS.

Кроме того, пожалуйста, выберите контекст именования по умолчанию, чтобы открыть представление ADUC, подобное представлению AD, и нажмите OK. Теперь слева отображается новая корневая разделительная панель, которую мы можем расширить. Как мы видим, терминал редактора ADSI в этом режиме показывает иерархическое дерево представления всех контейнеров и объектов Active Directory OU в AD.

Не забывайте, что после нажатия на узел, только контекст именования по умолчанию и различные уровни иерархии в редакторе ADSI становятся видимыми. Более того, существуют контейнеры службы AD, основанные на консоли, которые мы скрываем, и которые по умолчанию не могут отображаться в ADUC. В иерархии AD, например, мы можем выбирать, изменять, перемещать, удалять и переименовывать любые объекты (компьютеры, пользователи, группы).

Для иллюстрации мы перейдем в ОУ с пользователями, выберем пользователя и покажем контекстное меню с перечнем доступных действий. Как мы видим, мы сбрасываем пароль Active Directory пользователя в дополнение к обычным действиям с объектом AD (Переместить, Создать, Удалить, Переименовать). Более того, обратите внимание, что вместо имени объекта отображаются DN (Уникальное имя) и CN (Каноническое имя).

Перейдите к нужному объекту и откройте свойства требуемого объекта Active Directory, чтобы отредактировать свойства объекта с помощью редактора ADSI.

Улучшите безопасность своего Active Directory & Azure AD

Попробуйте нас для бесплатно, Доступ ко всем функциям. – 200+ шаблонов отчетов AD доступны. Легко настройте свои собственные отчеты AD.




Также читайте Get-ADUser Filter OU – Список пользователей из определенного OU

Важность ADSI

Вот некоторые причины, по которым нам нужен ADSI:

  1. Глубже доступ и управление: Хотя средство Active Directory Пользователи и компьютеры (ADUC) предоставляет удобный интерфейс для управления Active Directory, оно предоставляет только доступ к некоторым необходимым функциональным возможностям.
  2. Автоматизация: Мы используем ADSI для автоматизации повседневных административных задач, таких как создание и удаление аккаунтов пользователей, сброс паролей и изменение членства в группах. Этот процесс экономит средства, экономит время и снижает вероятность ошибок, вызванных ручным вводом данных.
  3. Скриптование: ADSI используется со скриптовыми языками, такими как VBScript и PowerShell, для автоматизации повторяющихся задач или выполнения сложных операций. Этот процесс облегчает управление большими средами Active Directory с большим количеством объектов.
  4. Интеграция: ADSI интегрирует Active Directory с другими службами каталогов или приложениями, такими как LDAP-каталоги, DNS-серверы и Exchange-сервер. Этот процесс помогает организациям достичь лучшей совместимости и оптимизировать свою инфраструктуру ИТ.

Также читайте Создание отчетов о компьютерах Active Directory с помощью PowerShell

Просмотр и редактирование атрибутов ADSI

Вкладка “Редактор атрибутов” в AD позволяет нам просматривать или изменять любые свойства пользователя. По умолчанию консоль редактора ADSI отображает каждый атрибут объекта в Active Directory в соответствии с классом объекта. В редакторе ADSI даже атрибуты объекта не отображаются в интерфейсе ADUC.

Значение “не установлено” показывает как заполненные, так и пустые атрибуты. Кнопка “Фильтр” позволяет выбирать, как отображать свойства объекта.

Доступны следующие опции фильтрации:

  • Показать только атрибуты, которые имеют значения – эта опция, после включения, скрывает все атрибуты с пустыми значениями;
  • Показать только доступные для записи атрибуты – отображает только те атрибуты, которые мы можем редактировать;
  • Показать обязательные атрибуты;
  • Показать опциональные атрибуты;
  • Показать только атрибуты только для чтения (Сконструированные, Обратные ссылки или Системные только).
Примечание:

Вкладка “Редактор атрибутов” в консоли свойств пользователя ADUC аналогична этой вкладке.

После этого мы можем изменить любой атрибут, дважды щелкнув по нему, введя новое значение и сохранив изменения.

Обратите внимание, что существует несколько типов данных среди характеристик объектов (Integer, String, MultiString, Time и т. д.). Например, AD показывает значения свойств, связанных с датой и временем, в консоли редактора атрибутов объекта ADSI в их обычной форме. Мы видим, что они все еще хранятся в базе данных Active Directory в формате Timestamp, если мы попытаемся изменить их.

Далее мы настраиваем настройки AD с помощью ADSI Edit, которые нельзя настроить каким-либо другим способом. Например, любой домен пользователь может добавить до 10 учетных записей компьютеров в домен (даже без прав администратора домена). Атрибут LDAP ms-DS-MachineAccountQuota, который мы можем изменить только с помощью ADSI Edit, служит нашему определению этого (в свойствах домена).

После этого мы рассмотрим несколько примеров действий, которые мы выполняем с помощью консоли ADSIEdit.

Также читайте Get-MgUserMemberOf – перечислить членства в группах пользователя Azure AD PowerShell

Скрыть OU в Active Directory

Например, мы можем использовать вкладку ADUC для скрытия OU (одного из контейнеров AD). Затем откройте свойства OU и измените атрибут с False (или Not Set) на True. Для проверки последней версии схемы AD с помощью редактора ADSI Edit:

  1. Выберите Schema как известный контекст именования;
  2. Разверните Schema, щелкните правой кнопкой мыши схему;
  3. Проверьте значение objectVersion

4. Значение соответствует версии схемы AD в Windows Server 2012 R2.

Мы не только можем управлять ADSI в графическом интерфейсе, но и обращаться к ним программно в PowerShell, о чем мы поговорим в следующем разделе.

Также читайте DCDiag: Как проверить состояние контроллера домена с помощью Powershell

Управление AD с использованием адаптера ADSI для PowerShell

Мы используем адаптер ADSI в PowerShell для установки соединения с LDAP AD. Хотя существуют более эффективные способы администрирования AD (чем модуль PowerShell Active Directory ), иногда приходится использовать его, например, через внешние инструменты или скрипты входа в систему. Мы должны указать путь LDAP к объекту AD, чтобы получить информацию о нем с использованием интерфейса ADSI:

[ADSI]'LDAP://CN=DC01,OU=Domain Controllers,DC=infrasos,DC=com'

Перечислить все атрибуты объекта:

[ADSI]'LDAP://CN=DC01,OU=Domain Controllers,DC=infrasos,DC=com' | Format-List *

Мы получаем значение конкретного атрибута объекта:

[ADSI]"LDAP://DC=infrasos,DC=com" | Format-List ms-DS-MachineAccountQuota

Мы используем фильтры поиска LDAP для поиска объектов в AD через ADSI:

([ADSISearcher]'(&(objectCategory=computer)(operatingSystem=Windows Server 2019*)(primaryGroupID=516))').FindAll()

Найти пользователей с установленным флагом “Пароль никогда не истекает“:

([ADSISearcher]'(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=66048))').FindAll()

Интерфейс ADSI также позволяет нам изменять и создавать объекты AD:

$TargetOU = [adsi]'LDAP://DC=infrasos,DC=com'
$NewOU =$TargetOU.Create('organizationalUnit','ou=NewYork')
$NewOU.SetInfo()

Также прочтите Получение членов группы Active Directory и экспорт в CSV с помощью PowerShell

ADSI Edit: Как редактировать Active Directory с использованием ADSI Edit Заключение

В заключение, ADSI Edit – это мощный инструмент, который предоставляет системным администраторам более глубокий доступ и контроль над объектами и атрибутами Active Directory objects. В то время как ADUC предоставляет дружественный интерфейс для управления Active Directory, иногда он может не предоставлять доступ ко всем необходимым функциям. С помощью ADSI Edit администраторы вносят изменения на низком уровне в объекты и атрибуты, которые обычно невидимы, что позволяет проводить расширенное устранение неполадок и исправлять сложные проблемы.

Source:
https://infrasos.com/adsi-edit-how-to-edit-active-directory-using-adsi-edit/