1.3K
El Herramienta de edición de ADSI (Editor de interfaz de servicio de Active Directory) es un complemento especial de mmc. Le permite conectarse a varias particiones de bases de datos de Active Directory (NTDS.dit) o al servidor LDAP a través de las interfaces de servicio de Active Directory. La herramienta ADSI Edit le permite crear, modificar y eliminar objetos en Active Directory, editar atributos, realizar búsquedas, etc.
En Windows Server 2003, el complemento ADSIEdit.msc formaba parte de las herramientas de soporte de Windows Server 2003. Tenías que descargarlo e instalarlo manualmente. Para registrar complementos, se utilizó el comando regsvr32 adsiedit.dll.
Las versiones modernas de Windows tienen ADSIEdit.msc incluido en RSAT. Se instala como parte del Herramientas de línea de comandos y complementos de AD DS característica. Vaya a Herramientas de administración remota del servidor > Herramientas de administración de roles > Herramientas de AD DS y AD LDS.
Para instalar ADSI Edit Console en versiones de SO de escritorio (Windows 10 y Windows 11), abra la consola de PowerShell como administrador e instale las herramientas administrativas de Active Directory desde RSAT:
Add-WindowsCapability –online –Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0
Después de instalar el componente, presione Win+R y escriba adsiedit.msc para iniciar ADSI Edit. O puede ejecutar ADSI Edit desde Panel de controlSistema y seguridadHerramientas administrativas.
Nota IMPORTANTE. El complemento ADSI Edit en las funciones de edición de Active Directory se asemeja al editor de registro de Windows. No todas las configuraciones de Windows se pueden cambiar a través de la GUI gráfica o las Políticas de grupo. A veces, para solucionar un problema complejo, el administrador tiene que realizar cambios directamente en el registro de Windows.
Del mismo modo, el complemento Usuarios y equipos de Active Directory o los cmdlets de PowerShell podrían no ser suficientes para resolver problemas complejos en Active Directory. Puede realizar cambios directamente en la base de datos de AD a través de ADSI Edit. Sin embargo, ADSI Edit pasa por alto todos los mecanismos AD de protección comunes. Significa que puede dañar o destruir su base de datos de AD con cambios de AD incorrectos usando adsiedit.msc. Por eso se recomienda hacer una copia de seguridad de Active Directory antes de usar esta herramienta.
Haga clic derecho en la raíz en ADSI Edit y seleccione Conectar a.
Aquí puede elegir a qué punto de conexión, contexto de nombres o computadora remota con base de datos LDAP desea conectarse.
Si no conoce el nombre distinguido exacto del punto de conexión o los contextos de nomenclatura, puede seleccionar uno de los contextos de nomenclatura conocidos:
- Contexto de nomenclatura predeterminado;
- Configuración;
- RaízDSE;
- Esquema.
Si su servidor LDAP (o controlador de dominio) está protegido con un certificado SSL, debe verificar la Usar cifrado basado en SSL opción de utilizar el protocolo LDAPS.
Para abrir la vista AD similar a ADUC, seleccione el contexto de nomenclatura predeterminado y presione OK. Aparecerá una nueva partición raíz en el panel izquierdo, que puede expandir. Como puede ver, en este modo, la consola ADSI Edit muestra todos los contenedores y las unidades organizativas de Active Directory en AD en una vista de árbol jerárquico.
Tenga en cuenta que el Contexto de nomenclatura predeterminado y otros niveles de la jerarquía en ADSI Edit no se muestran hasta que se hace clic en un nodo.
También hay contenedores de servicios de AD ocultos en la consola que no se muestran de forma predeterminada en ADUC. Puede navegar en la jerarquía de AD, seleccionar modificar, mover, eliminar, cambiar el nombre de cualquier objeto (computadoras, usuarios, grupos).
Por ejemplo, navegaremos a la unidad organizativa con usuarios, seleccionaremos un usuario y mostraremos una lista de acciones disponibles en el menú contextual. Como puede ver, además de las operaciones típicas con un objeto AD (Mover, Nuevo, Eliminar, Renombrar), puede restablecer la contraseña de usuario de Active Directory. Además, tenga en cuenta que el CN (Nombre canónico) y Nombre distinguido se muestran en lugar del nombre del objeto.
Para editar las propiedades del objeto a través de ADSI Edit, vaya al contenedor deseado y abra las propiedades del objeto de Active Directory que necesita.
Sobre el Editor de atributos pestaña, puede ver o editar cualquier propiedad de usuario en AD.
De forma predeterminada, la consola del Editor ADSI muestra todos los atributos del objeto en Active Directory (según la clase del objeto). ADSI Edit muestra todos los atributos de un objeto, incluso aquellos que no aparecen en la interfaz de usuario y computadora de Active Directory.
Se muestran tanto los atributos llenos como los vacíos (con el valor
Las siguientes opciones de filtro están disponibles:
- Mostrar solo los atributos que tienen valores — si habilita esta opción, todos los atributos con valores vacíos se ocultarán;
- Mostrar solo atributos de escritura — le permite mostrar solo aquellos atributos que puede editar el usuario que inició el complemento ADSIEdit (según los permisos delegados a la cuenta de usuario en Active Directory);
- Mostrar atributos obligatorios;
- Mostrar atributos opcionales;
- Mostrar atributos de solo lectura (Construido, Vínculos de retroceso o Solo del sistema).
Información. Esta pestaña es idéntica a la pestaña Editor de atributos en las propiedades de usuario de la consola ADUC.
Para cambiar el valor de cualquier atributo de un objeto, debe hacer doble clic en él, establecer un nuevo valor y guardar los cambios.
Tenga en cuenta que entre los atributos de los objetos hay diferentes tipos de datos (Integer, String, MultiString, Time, etc.). Los valores de los atributos que contienen la hora/fecha en la consola del Editor de atributos de objetos ADSI se muestran en su forma normal, pero si intenta editarlos, verá que están almacenados en la base de datos de Active Directory en formato de marca de tiempo.
ADSI Edit le permite establecer configuraciones de AD que no se pueden configurar de ninguna otra manera. Por ejemplo, cualquier usuario de dominio (incluso sin derechos de administrador de dominio) puede unir hasta diez cuentas de computadora al dominio. Esto está definido por el atributo LDAP ms-DS-MachineAccountQuotaque solo se puede editar a través de ADSI Edit (en las propiedades del dominio).
A continuación, veremos ejemplos de acciones que se pueden realizar mediante la consola ADSIEdit.
Ocultar OU en Active Directory
Por ejemplo, desea ocultar OU (uno de los contenedores AD) en el complemento ADUC. Para hacer esto, debe abrir las propiedades de la unidad organizativa y cambiar el Mostrar solo vista avanzada atributo de False (o Not Set) a Verdadero.
Para verificar la versión actual del esquema AD a través de ADSI Edit:
- Seleccionar Esquema como contexto de denominación conocido;
- Expanda Esquema, haga clic con el botón derecho en CN=Esquema,CN=Configuración,DC=theitbros,DC=com y seleccione Propiedades;
- Comprobar el versión del objeto valor;
- En nuestro caso es 69. Este número corresponde a la versión AD Schema en Windows Server 2012 R2.
Adición de columnas adicionales a la consola ADUC
De forma predeterminada, solo se muestra una lista específica de atributos en la consola Usuarios y equipos de Active Directory. Una lista completa de los atributos que se pueden mostrar en ADUC está disponible en el Vista > Agregar/quitar columnas menú. Pero no hay Sistema operativo atributo en esta lista. Puede agregar el atributo operatingSystem a la lista de columnas disponibles en la consola ADUC a través de ADSIEdit.
- Ejecute AdisEdit.msc y conéctese al Contexto de nomenclatura de configuración;
- Vaya a CN=DisplaySpecifiers > CN=409 y abra las propiedades del CN = visualización de unidad organizativa objeto;
- Encuentra el columnas extra propiedad en el anuncio del editor de atributos agregue el valor: sistema operativo, sistema operativo, 0,150,0
Pista. Se utiliza el formato usado:, , , , - Guarde los cambios en ADSI, vaya a ADUC y verifique si el atributo operatingSystem ahora se muestra en la consola.
Administrar AD mediante el adaptador ADSI para PowerShell
PowerShell le permite conectarse a un LDAP AD mediante un adaptador ADSI. Esta no es la forma más fácil de administrar AD (características en comparación con el módulo PowerShell Active Directory), pero a veces es necesario usarlo. Por ejemplo, en secuencias de comandos de inicio de sesión o herramientas externas.
Para recuperar información sobre un objeto AD a través de la interfaz ADSI, debe especificar la ruta LDAP al mismo:
[adsi]'LDAP://CN=M-DC02,OU=Domain Controllers,DC=contoso,DC=com'
Enumere todos los atributos del objeto:
[adsi]'LDAP://CN=M-DC02,OU=Domain Controllers,DC=contoso,DC=com' | Format-List *
Puede obtener el valor de un atributo de objeto específico, por ejemplo, ms-DS-MachineAccountQuota (descrito anteriormente):
[adsi]"LDAP://DC=contoso,DC=com" | Format-List ms-DS-MachineAccountQuota
Utilice la función ConvertLargeIntegerToInt64 para convertir el valor del atributo de marca de tiempo al formato normal de fecha/hora:
$user = [adsi]"LDAP:// CN=Administrator,CN=Users,DC=contoso,DC=com" [PSCustomObject] @{ name = $user.name.Value pwdLastSet = [datetime]::FromFileTime($user.ConvertLargeIntegerToInt64($user.pwdLastSet.value)) }
Puede usar filtros de búsqueda LDAP para encontrar objetos en AD a través de ADSI. Por ejemplo, necesitamos encontrar todos los controladores de dominio que ejecutan el sistema operativo Windows Server 2019:
([adsisearcher]'(&(objectCategory=computer)(operatingSystem=Windows Server 2019*)(primaryGroupID=516))').FindAll()
Encuentre usuarios con el conjunto «La contraseña nunca caduca»:
([adsisearcher]'(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=66048))').FindAll()
Enumere todas las cuentas de usuario deshabilitadas en AD:
([adsisearcher]'(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=2))').FindAll()
La interfaz ADSI también le permite modificar y crear objetos AD. Por ejemplo, para crear una unidad organizativa nueva:
$TargetOU = [adsi]'LDAP://DC=contoso,DC=com' $NewOU =$TargetOU.Create('organizationalUnit','ou=NewYork') $NewOU.SetInfo()