Herramientas para consultar el Directorio Activo

Vamos a arrejuntar algunos recursos e ideas interesantes a tener en cuenta cuando queremos examinar un Directorio Activo que no gestionamos. Si no tenemos acceso al controlador de dominio (ni ganas) pero necesitamos navegar por las OU’s, los usuarios, los equipos o el esquema, disponemos de lo siguiente:

• Las herramientas de Active Directory Services incluídas en Windows 2008. Se instalan como Features en la consola de servidor e incluyen

• el Snap-in de MMC que todos conocemos de Active Directory Users and Computers (evidentemente restringido a los permisos del usuario con que estemos navegando). Probablemente la forma más directa de consultar usuarios, equipos y sus propiedades básicas.

• el Active Directory Administrative Center, una herramienta GUI algo más avanzada que el Snap-in y, chico, un descubrimiento. Puedo ver el listado completo de atributos (incluídos los extendidos), filtrar, hacer búsquedas y guardar consultas.
• 
• 
• la consola Active Directory module for PowerShell, con CmdLets que implementan funciones comunes de gestión del AD. La referencia completa de CmdLets está en http://technet.microsoft.com/en-us/library/ee617195.aspx
• Si no disponemos de permisos de instalación para añadir Features en el servidor, quizá nos interese una herramienta de terceros como Active Directory Explorer de Sysinternals, muy completa y con opciones avanzadas de edición, como por ejemplo, los snapshots del AD y la comparación entre ellos.



• Por otra parte, disponemos de otra herramienta en forma de librería de CmdLets de Powershell: el ActiveRoles Management Shell de Quest Software (los de PowerGUI), que proporcia bastantes más opciones de las que ofrece el Active Directory Module de MS. Este blog es una buena referencia de posibles operaciones a realizar sobre el AD: http://dmitrysotnikov.wordpress.com/category/ad-cmdlets/  Por ejemplo, listar todos los atributos existentes se resolvería con el siguiente (y simple) comando:
• Get-QADUser -ReturnPropertyNamesOnly -IncludeAllProperties
• Finalmente, cabe comentar que, si todo esto nos queda pequeño, para implementar nuestras consultas personalizadas y aplicar la lógica añadida que deseemos tenemos el namespace System.DirectoryServices de .NET para atacar las interfaces de servicio de AD.