Active Directory 工具学习笔记(10.2):AdExplorer 实战(二)--- 对象 / 属性 / 搜索 / 快照
- [Active Directory 工具学习笔记(10.2):AdExplorer 实战(二)--- 对象 / 属性 / 搜索 / 快照](#Active Directory 工具学习笔记(10.2):AdExplorer 实战(二)— 对象 / 属性 / 搜索 / 快照)
Active Directory 工具学习笔记(10.2):AdExplorer 实战(二)--- 对象 / 属性 / 搜索 / 快照
本篇聚焦 AdExplorer 的四大高频能力:对象浏览 、属性查看/编辑 、搜索(含 LDAP 过滤器) 、快照与对比。对应书中小节"对象 / 特性 / 搜索 / 快照"。
一、对象(Objects):把目录结构看明白
1)导航三板斧
- 树视图 :左侧按 NC(命名上下文)展开(
DC=.../CN=Configuration/CN=Schema等)。 - 容器 vs 组织单位 :
CN=多为容器 (Container),OU=为组织单位(可承载策略与委派)。 - 对象类 :常见如
user、group、computer、organizationalUnit,以及服务配置对象(SPN、站点子网等)。
2)右键常用
- 复制 DN / GUID:便于脚本化与审计记录。
- 导出属性:将当前对象的属性批量导出为文本,做变更前"留痕"。
小提示:把"显示已删除对象"隐藏起来,日常排障更干净,做还原/取证时再打开。
二、特性(Attributes):看清每个字段的"原貌"
1)属性视图三要点
- 已设置 / 未设置:勾选"仅显示已设置属性",快速聚焦有效值。
- 语法与格式 :时间戳(
lastLogonTimestamp)、位掩码(userAccountControl)、多值属性(memberOf)要按语义解读。 - 可写性 :部分属性只读(系统维护),部分需额外权限(如写入
servicePrincipalName可能触发安全监控)。
2)常见属性速查
| 对象 | 关键属性 | 说明/用途 |
|---|---|---|
| 用户 | sAMAccountName / userPrincipalName |
登录名两套体系,排障时要区分 |
| 用户 | userAccountControl |
位标志(禁用、密码不过期、智能卡等) |
| 计算机 | dNSHostName / servicePrincipalName |
Kerberos 与服务发现关键 |
| 组 | member / memberOf |
成员/成员关系,多值 |
| 通用 | whenChanged / uSNChanged |
变更审计、复制排障 |
变更前截图+导出,变更后复核"写入是否成功"和复制是否到位(站点拓扑跨 DC)。
三、搜索(Search):从"可见"到"可查"
1)范围与基准
- Base / One Level / Subtree :通常选 Subtree(子树)覆盖 OU 深层搜索。
- Base DN:选定起点(例如某 OU),避免全林/全域扫描带来的性能/授权压力。
- 返回字段 :只取你要的属性(如
cn,distinguishedName,userAccountControl),提高速度。
2)LDAP 过滤器常用模板
ldif
# 账户被禁用的用户
(&(objectClass=user)(!(objectClass=computer))(|(userAccountControl:1.2.840.113556.1.4.803:=2)))
# 30 天未登录的用户(lastLogonTimestamp 约略)
(&(objectClass=user)(!(objectClass=computer))(!(userAccountControl:1.2.840.113556.1.4.803:=2))
(lastLogonTimestamp<=132541632000000000))
# SPN 缺失的计算机(示例)
(&(objectClass=computer)(!(servicePrincipalName=*)))
# 某 OU 下所有启用的计算机
(&(objectClass=computer)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))说明:
1.2.840.113556.1.4.803为按位匹配 的 LDAP 扩展匹配规则;lastLogonTimestamp有复制延迟/粒度,用于"近似"活跃度统计。
3)搜索结果的"下一跳"
- 导出为 CSV/TSV:做合规盘点、账号治理清理清单。
- 右键批量定位:在树视图中快速跳转到对象位置,复查 OU/权限是否符合预期。
四、快照(Snapshots):把目录拍成"时间机器"
1)快照的价值
- 离线浏览:不连域也能查看既往状态(变更窗口前的基线)。
- 对比差异 :新旧快照属性级对比,精准指出谁改了什么(新增/删除/变更)。
2)操作流(建议流程)
- 创建快照(Before):变更前在根 NC 或目标 OU 建立一次。
- 执行变更:最小范围、最小权限、留好工单号。
- 创建快照(After):变更后再次拍摄。
- 差异对比 :定位新增对象、属性值变化(例如被意外改动的
userAccountControl)。 - 导出差异:生成 CSV/HTML 送审或归档。
3)常见对比关注点
- 组成员增删(高权限组、特权账号)。
- 用户属性异常跳变(禁用→启用、密码不过期标志开启)。
- 计算机对象 SPN 变更(可能引发 Kerberos 故障)。
- OU/ACL 变更(委派与继承是否被破坏)。
风险提示:快照文件属于敏感信息 (含目录元数据),请纳入企业机密级存储与访问控制。
五、导出与自动化:把眼前的"可见"变成"可用"
- 对象/搜索结果导出:CSV/制表符分隔,适合后续 PowerShell/Excel 清洗。
- 与脚本结合 :导出 DN 列表 → 批量脚本(如
Set-ADUser/Set-ADComputer)做合规整改。 - 基线制度化 :关键 OU(特权组、域控制器、服务账号)按月/按变更前固化快照,配合差异审计。
六、故障与陷阱清单(实战踩坑复盘)
- 过滤器过宽 :Subtree +
(objectClass=*)易造成全域扫爆;务必限定 Base DN 与类。 - 复制延迟 :跨站点多 DC 查询结果不一致,先定位到PDC Emulator或本地站点 DC。
- 时间属性误解 :
lastLogon与lastLogonTimestamp语义不同;前者不复制 ,后者近似。 - 位掩码误判 :
userAccountControl多标志叠加,使用按位匹配,别直接等值比较。 - 权限不足:看不到某些属性/容器,多半是 ACL 限制;与 AD 管理员核对委派模型。
七、随手模板:三条高价值搜索(复制即用)
ldif
# 1) 禁用但未移动到隔离 OU 的用户
(&(objectClass=user)(!(objectClass=computer))
(userAccountControl:1.2.840.113556.1.4.803:=2)
(!(distinguishedName:dnSubtreeMatch:=OU=Quarantine,DC=corp,DC=local)))
# 2) 最近 7 天内被修改的高权限组对象(示例:Domain Admins 及其成员)
(|(distinguishedName=CN=Domain Admins,CN=Users,DC=corp,DC=local)
(memberOf:1.2.840.113556.1.4.1941:=CN=Domain Admins,CN=Users,DC=corp,DC=local))
(changeWhen>=20250101* ) # 按实际时间筛法替换
# 3) 未设置密码过期例外但密码已过期的账号(示意)
(&(objectClass=user)(!(objectClass=computer))
(!(userAccountControl:1.2.840.113556.1.4.803:=65536)) # PASSWD_CANT_CHANGE 示例位请按需调整
(pwdLastSet=0))结语
把 对象/属性/搜索/快照 四件事打通,AdExplorer 就不只是"看目录"的浏览器,而是你的 AD 基线/审计/取证 多面手。下一篇我们把 AdExplorer 的配置与偏好做一次"按键解析",顺便给出一套"季度基线与差异审计"的落地清单,搭好你的 AD 变更安全护栏。