ADSI编辑:如何使用ADSI编辑器编辑活动目录

教程
PowerShell

ADSI编辑:如何使用ADSI编辑编辑Active Directory。首先,ADSI(Active Directory服务接口编辑器)编辑允许通过ADUC(Active Directory用户和计算机)访问和修改底层和未公开的目录服务数据。在本文中,我们讨论了ADSI编辑器的使用方法,包括如何访问该工具、主要导航以及每天使用的案例,以更改Active Directory 对象和属性。无论我们是经验丰富的系统管理员还是刚刚开始,了解如何使用ADSI编辑有助于将ActiveDirectory 管理技能提升到下一个水平。另请阅读 如何设置和管理Active Directory密码策略ADSI:如何使用ADSI编辑编辑Active Directory

另请阅读如何设置和管理活动目录密码策略

ADSI:如何使用ADSI编辑器编辑活动目录

其次,ADSI(活动目录服务接口编辑器)编辑工具是一个MMC插件。我们使用活动目录服务接口连接到其他活动目录数据库分区(NTDS.dit)或LDAP服务器。ADSI编辑工具还使我们能够编辑属性、执行搜索以及在活动目录中创建、修改和删除项目。

另请阅读查看我们的活动目录直接报告工具(InfraSOS)

先决条件

重要地是,当前Windows版本包含了在远程服务器管理工具(RSAT)中的ADSIEdit.msc。ADSI工具是ADDS插件和命令行工具包的一部分。查看这篇文章以获取安装RSAT的说明和更多信息。

因此,在安装该功能后,按下Win+R打开运行窗口,输入adsiedit.msc来打开ADSI编辑器。或者,我们可以在控制面板的系统和安全部分下的管理工具中访问。

注: 在AD编辑功能中,ADSI Edit插件类似于Windows注册表编辑器。因此,我们无法使用组策略或图形用户界面更改某些Windows设置。因此,管理员有时需要直接修改Windows注册表以解决复杂问题。

另请阅读 使用PowerShell脚本查找Azure AD用户并过滤 – Get-MgUser

ADSI工具概述

同样,解决复杂的Active Directory问题需要比仅使用用户计算机管理单元或PowerShell命令更的工具。例如,通过ADSI Edit,我们可以直接修改AD数据库。但是,ADSI Edit超出了所有标准的AD安全措施。因此,这意味着使用adsiedit.msc进行错误的AD修改可能会损坏或删除我们的AD数据库。因此,我们建议在使用此工具之前备份Active Directory

首先,右键单击ADSI工具并选择连接。我们选择具有LDAP数据库的远程计算机或此菜单中的连接点、命名上下文。如果我们不知道确切的连接点可分辨名称或命名上下文,我们可以选择以下已知的命名上下文之一:

  • 默认命名上下文
  • 配置
  • RootDSE
  • 架构

如果我们使用的LDAP服务器(或域控制器)拥有SSL证书,那么我们必须选择使用基于SSL的加密选项来使用LDAPS协议。

此外,请选择默认的命名上下文以打开类似ADUC的AD视图,并点击确定。现在,左侧窗格显示了一个全新的根分区,我们可以对其进行扩展。正如我们所见,在这种模式下,ADSI编辑终端显示了所有容器和Active DirectoryOUs的层次树视图。

请记住,在我们点击节点之后,只有默认命名上下文和ADSI编辑中AD的不同层次结构级别是可见的。此外,还有我们隐藏的基于控制台的AD服务容器,这些容器默认情况下ADUC无法显示。在AD层次结构中,例如,我们可以选择、修改、移动、删除和重命名任何对象(计算机、用户、)。

为了说明,我们将与用户一起进入OU,选择一个用户,并显示一个包含可用操作列表的上下文菜单。正如我们所见,我们重置了Active Directory用户密码,除了通常与AD对象(移动、创建、删除、重命名)相关的活动。此外,请注意,显示的是DN(识别名)和CN(规范名称),而不是对象名称。

转到所需对象并打开所需Active Directory对象的属性,以使用ADSI编辑来编辑对象属性。

提升您的Active Directory安全性和Azure AD

免费试用,访问所有功能。- 200多个AD报告模板可用。轻松自定义您自己的AD报告。




另请阅读Get-ADUser Filter OU – 列出特定OU中的用户

ADSI的重要性

以下是为什么我们需要ADSI的一些原因:

  1. 更深入的访问和控制:尽管Active Directory 用户和计算机(ADUC)工具提供了一个用户友好的界面来管理Active Directory,但它仅提供了访问到一些必要功能。
  2. 自动化:我们使用ADSI来自动化日常管理任务,例如创建和删除用户账户,重置密码,以及修改组成员资格。这个过程成本效益高,节省时间,并减少了由于手动数据输入导致的人为错误的可能性。
  3. 脚本编写:ADSI 与 VBScript 和 PowerShell 等脚本语言一起使用,以自动执行重复性任务或执行复杂操作。这个过程使得管理包含大量对象的大型 Active Directory 环境 变得更加容易。
  4. 集成:ADSI 将 Active Directory 与其他目录服务或应用程序(如 LDAP 目录、DNS 服务器和 Exchange 服务器)集成。这个过程有助于组织实现更好的互操作性并简化其 IT 基础设施。

另请阅读 使用 PowerShell 创建 Active Directory 计算机报告

查看和编辑 ADSI 属性

在AD中的属性编辑器选项卡允许我们检查或修改任何用户的属性。根据对象的类,ADSI编辑器控制台默认显示对象在活动目录中的所有属性。在ADSI编辑中,即使对象的属性在ADUC界面中不显示。

使用“未设置”值,我们显示已填充和空的属性。过滤器按钮允许我们选择如何显示对象属性。

以下过滤选项可用:

  • 仅显示有值的属性——启用此选项后,隐藏所有空值的属性;
  • 仅显示可写属性——仅显示我们可以编辑的属性;
  • 显示强制属性
  • 显示可选属性
  • 显示只读属性(仅构造、反向链接或系统)。
注意:

ADUC控制台用户属性的属性编辑器选项卡与此选项卡类似。

之后,我们通过双击属性,输入新值,然后保存更改来更改任何属性。

请注意,对象的特征中有几种数据类型(整数、字符串、多字符串、时间等)。例如,AD展示了在ADSI对象属性编辑器控制台中,时间/日期相关属性的值以常规形式显示。如果我们尝试修改这些属性,我们会发现它们仍然以时间戳格式存储在Active Directory数据库中。

接下来,我们使用ADSI编辑器配置AD设置,这些设置无法通过其他任何方式配置。例如,任何用户最多可以将10个计算机账户添加到域中(即使没有域管理员权限)。我们只能使用ADSI编辑器修改的LDAP属性ms-DS-MachineAccountQuota,在域属性中作为我们的定义。

之后,我们检查一些使用ADSIEdit控制台进行操作的示例。

另请阅读 Get-MgUserMemberOf – 列出Azure AD用户的PowerShell组成员资格

在Active Directory中隐藏OU

例如,我们可以使用ADUC管理单元来隐藏OU(AD容器之一)。然后,打开OU属性并将属性从False(或未设置)更改为True。要检查AD架构的最新版本,可以使用ADSI Edit:

  1. 选择架构作为众所周知的命名上下文;
  2. 展开架构,右键单击架构;
  3. 检查objectVersion

4.该值对应于AD架构版本Windows Server 2012 R2中。

我们不仅可以通过GUI管理ADSI,还可以在PowerShell中以编程方式访问它们,我们将在下一节中讨论。

还阅读DCDiag:如何使用Powershell检查域控制器健康状况

使用ADSI适配器管理AD的PowerShell

我们使用PowerShell中的ADSI适配器与LDAP AD建立连接。虽然有比PowerShell活动目录模块更好的管理AD的方法,但有时我们必须使用它,例如通过外部工具或登录脚本。我们必须指定LDAP路径以接收有关AD对象的信息,使用ADSI接口:

[ADSI]'LDAP://CN=DC01,OU=Domain Controllers,DC=infrasos,DC=com'

列出所有对象属性:

[ADSI]'LDAP://CN=DC01,OU=Domain Controllers,DC=infrasos,DC=com' | Format-List *

获取特定对象属性的值:

[ADSI]"LDAP://DC=infrasos,DC=com" | Format-List ms-DS-MachineAccountQuota

使用LDAP搜索过滤器通过ADSI在AD中查找对象:

([ADSISearcher]'(&(objectCategory=computer)(operatingSystem=Windows Server 2019*)(primaryGroupID=516))').FindAll()

查找“密码永不过期”的用户:

([ADSISearcher]'(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=66048))').FindAll()

ADSI接口还允许我们修改和创建AD对象:

$TargetOU = [adsi]'LDAP://DC=infrasos,DC=com'
$NewOU =$TargetOU.Create('organizationalUnit','ou=NewYork')
$NewOU.SetInfo()

阅读使用PowerShell获取活动目录组中的成员并导出到CSV

ADSI编辑:如何使用ADSI编辑器编辑活动目录结论

总之,ADSI编辑器是一个强大的工具,它为系统管理员提供了对活动目录对象和属性的更深入访问和控制。虽然ADUC提供了用于管理活动目录的用户友好界面,但它并不总是提供所有必要的功能。通过ADSI编辑器,管理员可以对对象和属性进行低级别的更改,这些更改通常是不可见的,从而允许进行高级故障排除并解决复杂的

Source:
https://infrasos.com/adsi-edit-how-to-edit-active-directory-using-adsi-edit/