¿Cómo ver y cambiar las propiedades de los objetos de Active Directory? – TrucosInformaticos

General

El ADSIEdit.msc es un complemento gráfico de MMC que se utiliza como editor de Active Directory de bajo nivel. Utiliza una interfaz de servicio de Active Directory (ADSI) para conectarse a las particiones de la base de datos de AD. La herramienta ADSI Edit permite consultar, crear, modificar y eliminar objetos en Active Directory, editar atributos, realizar búsquedas, etc.

Cómo instalar ADSIEdit en Windows

El complemento ADSI Edit se puede instalar desde el paquete RSAT tanto en hosts de Windows Server como en las ediciones de escritorio de Windows 10 u 11.

ADSIEdit se puede instalar en Windows Server 2022/2019/2016:

Si desea utilizar la consola ADSI Edit desde Windows 10 o Windows 11, instálela:

Ahora puede ejecutar ADSI Edit utilizando el adsiedit.msc comando o desde Panel de control\Sistema y seguridad\Herramientas administrativas.

herramienta de edición adsi

Administrar Active Directory mediante ADSI

La primera vez que inicie la consola ADSI, deberá conectarse a la instancia de AD DS/LDS.

Haga clic derecho en la raíz en ADSI Edit y seleccione Conéctate a. El nombre distinguido de LDAP o el contexto de nomenclatura se pueden especificar manualmente o seleccionarse desde uno de los contextos de nomenclatura conocidos:

  • Contexto de nomenclatura predeterminado — raíz del dominio actual.
  • Configuración — describe la estructura del bosque de AD, incluida la estructura de los sitios de AD y la topología de replicación (en todo el bosque).
  • Esquema — contiene las definiciones de objetos y atributos de AD (en todo el bosque).
  • raízDSE — es la raíz del árbol de directorios del servidor LDAP.

Para utilizar el protocolo LDAPS cifrado para conectarse al controlador de dominio, seleccione el Utilice cifrado basado en SSL opción.

adsiedit.msc ventanas 11

En la mayoría de los casos, el Contexto de nomenclatura predeterminado se utiliza. La consola ADSI Edit se conectará a la partición del directorio especificada y mostrará todos los Unidades organizativas de Active Directory en una vista de árbol jerárquica (es similar a la vista AD en la consola ADUC).

Navegue por la jerarquía de AD utilizando la consola ADSI. Haga clic en cualquier unidad organizativa. En el panel derecho de ADSIEdit verá una lista de elementos que contiene esta unidad organizativa (incluidos usuario, computadora, grupo, unidad organizativa, contacto y otras clases de objetos). Tenga en cuenta que en lugar del nombre del objeto, ADSI Edit muestra el nombre del objeto. CN (Nombre canónico) y DN (Nombre distinguido).

Haga clic derecho en cualquier objeto AD para ver una lista de acciones disponibles. Por ejemplo, para el objeto Usuario, además de las operaciones típicas con un objeto AD (Mover, Nuevo, Eliminar, Cambiar nombre), puede restablecer la contraseña del usuario de Active Directory.

instalar adsi editar

Usando el Editor de atributos en ADSIEdit.msc

Hay un editor de atributos de objetos AD integrado en el complemento ADSIEdit, que le permite ver o modificar cualquier valor de atributo de objeto. La pestaña Editor de atributos está disponible en las propiedades de cada objeto AD.

edición adsi en directorio activo

Nota importante. Tenga cuidado al modificar objetos o atributos de AD, ya que ADSIEdit es una herramienta LDAP de bajo nivel. A diferencia de otras consolas estándar, como ADUC, no tiene mecanismos integrados para restringir las acciones del administrador.

De forma predeterminada, tanto llenos como vacíos () se muestran los atributos. Puede mostrar u ocultar algunos atributos usando las opciones de Filtro:

  • Mostrar solo atributos que tengan valores
  • Mostrar solo atributos grabables — muestra sólo los atributos que el usuario actual tiene permiso para cambiar
  • Mostrar atributos obligatorios;
  • Mostrar atributos opcionales;
  • Mostrar atributos de solo lectura (Construido, Vínculos de retroceso o Solo del sistema).

instalación de edición adsi

Para cambiar el valor del atributo, haga doble clic (o presione Editar) y establezca un nuevo valor.

directorio activo adsi

ADSI Edit le permite cambiar la configuración de AD que no se puede configurar de ninguna otra manera. Por ejemplo, cada usuario del dominio puede unir hasta 10 computadoras al dominio. Esto está definido por el atributo LDAP. ms-DS-MachineAccountQuota (disponible en las propiedades del dominio).

adsi.msc

Cuando intenta editar los valores de los atributos de algunos objetos AD, puede recibir un error:

No hay ningún editor registrado para manejar este tipo de atributo.

cómo usar adsi editar

Este problema suele ocurrir en dominios AD con un servidor Exchange local cuando se utiliza el modo Hybrid Exchange o cuando un dominio se sincroniza con Entra ID. Si se produce este error, utilice el Conjunto-ADObject cmdlet para cambiar el valor del atributo.

En mi caso, el error ocurrió cuando intenté cambiar el autoría atributo del grupo. Este comando de PowerShell le permite cambiar este valor:

Set-ADObject "Group DN" -replace @{authorig="User DN"}

Búsqueda de objetos AD mediante ADSI Edit

El complemento ADSI Edit le permite buscar objetos AD utilizando varios criterios.

  1. Haga clic derecho en el contexto de nomenclatura predeterminado y seleccione Nuevo > Consulta; búsqueda adsiedit
  2. Ingrese el nombre de la consulta, seleccione el alcance de la búsqueda y especifique el código de consulta LDAP manualmente o generelo usando el asistente (Editar consulta botón). En este ejemplo, buscamos usuarios de AD llamados David:
    (&(objectCategory=usuario)(objectClass=usuario)(givenName=david*))
    editor adsi
  3. Guarde la consulta;
  4. La consola ADSI mostrará una lista de objetos AD que coinciden con su consulta LDAP. comando de edición adsi

Valora este post

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *