Início / computer / Perguntas / 1720061
Accepted
stackprotector
Asked: 2022-05-09 22:05:45 +0800 CST

Um computador com Windows 10 ingressado em um domínio possui ferramentas internas para consultar AD/LDAP?

  • 772

Estou em um domínio associado ao computador com Windows 10 e quero consultar os atributos da minha própria conta de usuário. Existem ferramentas integradas para isso?

Não é um computador de administrador e não tenho o RSAT instalado. Meu computador parece não ter:

  • dsget
  • dsquery
  • ldapsearch
  • ldp
  • ActiveDirectoryMódulo PowerShell

Existem outras ferramentas incorporadas? Quer dizer, deve haver algo , porque pelo menos meu computador é capaz de consultar o AD, mas existem ferramentas que eu também possa usar como usuário?

windows-10 active-directory

2 respostas

  1. Best Answer

    O Windows tem a interface ADSI disponível para programas, que oferece suporte ao acesso LDAP geral.

    O PowerShell tem acesso ao ADSI por meio de System.DirectoryServicestipos:

    • O [System.DirectoryServices.DirectoryEntry] tipo (alias para [ADSI]) representa uma entrada específica – quando dado um objeto LDAP, seus atributos correspondem diretamente aos atributos da entrada LDAP:

      $obj = [adsi] "LDAP://CN=foo,OU=bar,DC=example,DC=com"
echo $obj.displayName
$obj | fl *

      Você não precisa especificar um servidor – o Windows usará o diretório AD por padrão. (A LDAP://parte diferencia maiúsculas de minúsculas; esta é uma string de ligação ADSI , não uma URL.)

    • O [System.DirectoryServices.DirectorySearcher] tipo (com o alias de ) representa uma consulta de pesquisa[ADSISearcher] LDAP que pode ser usada para encontrar seu DN de usuário, caso você ainda não o conheça:

      $qry = [adsisearcher] "(sAMAccountName=stackprotector)"
$qry.FindAll().Path

      Exemplo mais detalhado copiado de uma ou outra página de documentos do MSDN (no AD, pesquisar o anrpseudo-atributo é como as ferramentas GUI resolvem nomes):

      $qry = New-Object DirectoryServices.DirectorySearcher
$qry.Filter = '(&(objectCategory=person)(anr=Stack))'
$qry.SearchRoot = 'LDAP://OU=Laptops,OU=Computers,DC=contoso,DC=com'
$qry.FindAll()

    Mas ADSI é originalmente uma API COM+ que antecede o PowerShell e até o .NET em geral, então é claro que a Microsoft tem exemplos para usá-lo do VBScript e do ADODB (e até do ASP , não que isso ajude aqui).

    Você também deve poder instalar e usar algumas ferramentas RSAT sem precisar de privilégios especiais (além do administrador local do Windows para fazer a instalação). Por padrão, o diretório é aberto para qualquer cliente autenticado.

    Você pode usar clientes LDAP de terceiros com AD – os controladores de domínio aceitarão autenticação usando suas credenciais de usuário , que é como a maioria das ferramentas GUI do Windows pesquisam dados no AD em primeiro lugar (com a conta de ingresso da máquina sendo necessária apenas para algumas tarefas ). No entanto, é melhor usar clientes que suportem autenticação Kerberos via GSSAPI ou GSS-SPNEGO, pois isso garante que funcione com qualquer configuração do AD. Ferramentas que usam NTLM ou "ligação simples" (autenticação de senha) podem ou não funcionar dependendo da configuração do domínio.

    Por exemplo, SysInternals ADExplorer vem da Microsoft e funciona sem instalação. (Quando solicitados os detalhes do servidor, deixe todos os campos em branco e clique em "Conectar".)

    (As ferramentas RSAT "ADSIEdit" e "dsa.msc" podem tecnicamente ser usadas sem uma instalação completa, de fato, até mesmo as instruções oficiais da Microsoft costumavam dizer "extrair esses arquivos do .cab e regsvr32 deles", mas você precisa do administrador local do Windows acesso para a regsvr32peça.

    • 7

  2. A partir da excelente resposta de user1686 , derivou a seguinte linha para exibir os atributos da conta de usuário conectada no momento:

    [adsi] ([adsisearcher] "(sAMAccountName=$env:USERNAME)").FindAll().Path | Format-List *
    • 1

relate perguntas