Active Directory 工具学习笔记(10.1):AdExplorer 实战(一)--- 连接到域与界面总览
-
- [一、AdExplorer 能帮你解决什么问题?](#一、AdExplorer 能帮你解决什么问题?)
- [二、连接到域:最顺手的 3 种方式](#二、连接到域:最顺手的 3 种方式)
- [三、界面总览:左树右表 + 属性页](#三、界面总览:左树右表 + 属性页)
- 四、搜索:从"找名字"到"按属性精准命中"
- [五、快照:把 AD"冻住",再做时间旅行](#五、快照:把 AD“冻住”,再做时间旅行)
- 六、常用配置:更贴合你的目录"视力"
- [七、运维与审计 Playbook(可直接应用)](#七、运维与审计 Playbook(可直接应用))
- 八、风险与合规提醒
- 九、速查表
- 十、结语与下一篇
本章围绕 AdExplorer 的入门与高频操作展开:如何连接到域、认识界面、理解对象与属性、用搜索快速定位条目,以及用快照做"时光机"式对比;这些正是工具官方章节中"连接到域 / 显示的内容 / 对象 / 特性 / 搜索 / 快照 / 配置"的核心要点。
一、AdExplorer 能帮你解决什么问题?
- 图形化浏览与检索 AD :比
dsa.msc更直观,支持按属性筛选、复制 DN、导出条目。 - 拍"快照"、离线查看 :把当前目录内容保存成只读快照文件,支持之后对比差异,重现"昨天谁改了组成员"。(后文详解"快照")
- 低风险观察 :默认只读浏览,不会无意间改动生产目录对象(更改需显式操作)。
这些主题在该章的 AdExplorer 小节里逐段展开,本文按"实战路线"组织。
二、连接到域:最顺手的 3 种方式
- 指定域/控制器
- 打开 AdExplorer →
File → Connect... - Server or Domain :
- 写域 DNS 名:
corp.example.com(自动选最近 DC) - 或写某台 DC:
dc01.corp.example.com
- 写域 DNS 名:
- Credentials :
- 已登录域用户通常够用;跨域或审计场景可用"另存凭据"(不会落地明文)。
- 选择命名上下文(Naming Contexts)
- 典型有
Default naming context(生产对象)、Configuration、Schema。 - 常用浏览对象选 Default ;看站点/服务时用 Configuration。
- 端口与安全
- LDAP 389/TCP,LDAPS 636/TCP(强烈建议生产用 LDAPS);
- 跨林查询或全局编目可指向 GC 3268/3269(只读属性集合)。
连接流程与"显示的内容/对象/属性"的阅读体验息息相关,是该章的第一梯队主题。
排错速查
- "Cannot connect / Invalid credentials" :先
nltest /dsgetdc:corp.example.com验证 DC 解析;再查时间偏差(Kerberos)、防火墙端口。 - "The server is not operational":常见是 636/3269 被拦;或目标 DC 未启用证书导致 LDAPS 失败(临时回落 389 验证通路,完善 PKI 后再切回)。
三、界面总览:左树右表 + 属性页
- 左侧树(Objects):OU、CN、用户、计算机、组、GPO 链接等层级展开。
- 右侧列表(Attributes):当前对象的属性键值(可复制、导出、按列排序)。
- 下方状态栏 :显示DN(可复制)、对象类、USN、更新时间等关键信息。
- 右键菜单 :复制 DN/属性、跳转引用对象、快速搜索相似项。
章内"显示的内容 / 对象 / 特性"正是从这一界面切入,教你把抽象的目录条目看成"对象 + 属性"的集合。
阅读小技巧
- 时间戳(
whenChanged、pwdLastSet)可快速锁定"最近变更"。 - 成员关系:组对象的
member/ 用户的memberOf对照看,定位遗漏授权。 - 引用跳转:双击
manager、memberOf等 DN 属性,可在对象间来回穿梭。
四、搜索:从"找名字"到"按属性精准命中"
基础搜索
- 工具栏
Find/Ctrl+F,按 名称片段 或 DN 关键词 快速定位。
LDAP 过滤器(精准/批量)
- 支持标准 LDAP 语法,常用示例:
ldap
# 所有禁用账户
(&(objectClass=user)(objectCategory=person)(userAccountControl:1.2.840.113556.1.4.803:=2))
# 某 OU 下30天内修改过的用户
(&(objectClass=user)(whenChanged>=20241013.000000.0Z))- 组合技巧:
&且、|或、!非;用subtree递归整棵 OU。
目录里的"搜索"小节强调按属性检索能显著提升定位效率,特别适合审计和批量核查。
五、快照:把 AD"冻住",再做时间旅行
创建快照
File → Create Snapshot...选择保存路径,生成只读快照文件(可跨机带走)。- 快照记录对象树与属性值,适合离线浏览或变更审计。
对比快照(Diff)
File → Compare...选"过去的快照"与"现在/另一份快照",列出 新增/删除/修改 的对象与属性。- 典型用法
- 变更窗口前后对比:谁被加进了 Domain Admins?
- 应急时点还原:回看"昨晚 22:00 的成员关系"。
快照与对比是 AdExplorer 的"杀手锏",章节中与"快照/配置"并列强调。
六、常用配置:更贴合你的目录"视力"
- 显示列/属性可见性:收窄到你关心的字段,减少噪音。
- 复制格式:DN/UPN/SID 多种格式随取随用(写脚本很省事)。
- 书签/历史:对常看 OU/组做书签,日常巡检一键直达。
- 安全基线 :习惯性用 LDAPS,并在"连接配置"里固定命名上下文与首选 DC。
"AdExplorer 的配置"是官方小节之一,落点就是让浏览/检索与团队 SOP 一致、可复用。
七、运维与审计 Playbook(可直接应用)
1)新用户入域是否合规?
- 搜索近 24h 创建对象:
whenCreated>=YYYYMMDDHHMMSS.0Z - 核对
memberOf是否只落在"入职默认组"。
2)高权限组差异审计
- 为"Domain Admins""Enterprise Admins"各拍一份月初快照;
- 每周
Compare,若有新增成员,拉条证据链(工单、审批、操作者)。
3)GPO 定位
- 在 Configuration NC 搜索
objectClass=gPLink / gPCFileSysPath; - 跟随引用到具体 GPO,核对时间戳与编辑者。
八、风险与合规提醒
- 最小权限:浏览通常只需读;修改请走 CAB/变更流程并保留审计线索。
- 隐私与敏感属性:邮箱、手机号、自定义属性等可能含 PII,导出/携带快照应加密与权限控制。
- 证书/LDAPS:生产建议默认启用 LDAPS,避免明文链路暴露凭据派生信息。
九、速查表
| 任务 | 路径/动作 |
|---|---|
| 连接到域 | File → Connect...,填域名或 DC,选择命名上下文 |
| 快照 | File → Create Snapshot... 保存 .dat |
| 对比 | File → Compare... 选择"基准"与"当前/另一份" |
| 快速搜索 | Ctrl+F 名称 / DN 片段 |
| LDAP 过滤 | Find → LDAP Filter...(支持 & ` |
| 复制 DN | 右键对象 → Copy(DN/UPN/SID 等) |
十、结语与下一篇
这一篇把 AdExplorer 的连接→浏览→搜索→快照→配置 完整打通。下一篇我们会把焦点放到 "对象/属性实战清单 + 快照差异分析案例",把审计与应急分析串成一条可复用的操作链,配上 LDAP 过滤模板与导出技巧,效率再上一个档次。