Active Directoryの情報は全て内部のLDAPが保持しており、このLDAPはMicrosoft独自の実装はあるものの、基本的にはLinuxで構築するLDAPサーバーと同じです。
この為、一般的なLDAPクライアントから接続が可能です。
Active Directory上からの確認
Active Directoryではldifdeコマンドを使用します。ldifdeコマンドは、ldapsearchのように標準出力ではできず、ファイルにエクスポートして確認となるようです。
PS C:\Users\Administrator> ldifde -f export.ldf
"ad01.si1230.com" に接続しています
SSPI を使って現在のユーザーとしてログインしています
ディレクトリをファイル export.ldf にエクスポートしています
エントリを検索しています...
エントリを書き出しています.................................................................................................................................................................................................................................................
241 個のエントリがエクスポートされました
コマンドが正しく完了しました
export.ldf内のAdministratorのDNは下記のようになっています。この通り単なるLDIFですが、パスワード等の一部の属性はセキュリティ観点で出力はされないようです。例えば別のLDAPと連携する際に正しいDNを確認する際には便利だと思います。
dn: CN=Administrator,CN=Users,DC=si1230,DC=com changetype: add objectClass: top objectClass: person objectClass: organizationalPerson objectClass: user cn: Administrator description:: 44Kz44Oz44OU44Ol44O844K/44O8L+ODieODoeOCpOODs+OBrueuoeeQhueUqCAo44OT44Or44OI44 Kk44OzIOOCouOCq+OCpuODs+ODiCk= distinguishedName: CN=Administrator,CN=Users,DC=si1230,DC=com instanceType: 4 whenCreated: 20210517080136.0Z whenChanged: 20210701045235.0Z uSNCreated: 8196 memberOf: CN=Group Policy Creator Owners,CN=Users,DC=si1230,DC=com memberOf: CN=Domain Admins,CN=Users,DC=si1230,DC=com memberOf: CN=Enterprise Admins,CN=Users,DC=si1230,DC=com memberOf: CN=Schema Admins,CN=Users,DC=si1230,DC=com memberOf: CN=Administrators,CN=Builtin,DC=si1230,DC=com uSNChanged: 16397 name: Administrator objectGUID:: Og45uyKVfUOjoocRHiH0xA== userAccountControl: 66048 badPwdCount: 0 codePage: 0 countryCode: 0 badPasswordTime: 132695887517887537 lastLogoff: 0 lastLogon: 132696640817465463 pwdLastSet: 132657107406088798 primaryGroupID: 513 objectSid:: AQUAAAAAAAUVAAAAql6LqbcnVHuq3HY79AEAAA== adminCount: 1 accountExpires: 9223372036854775807 logonCount: 5 sAMAccountName: Administrator sAMAccountType: 805306368 objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=si1230,DC=com isCriticalSystemObject: TRUE dSCorePropagationData: 20210517081803.0Z dSCorePropagationData: 20210517081803.0Z dSCorePropagationData: 20210517080252.0Z dSCorePropagationData: 16010101181216.0Z lastLogonTimestamp: 132695887558971789
ユーザー情報だけをエクスポートする場合は-rオプションでobjectCategory=userを指定するようです。objectCategoryとは、ldifdeコマンド上ではobjectClassの意味のようです。
PS C:\Users\Administrator> ldifde -u -f export_user.ldf -r objectCategory=user
LDAPSの接続性を確認するはldp.exeを実行します。ldp.exeはコマンドプロンプトから実行します。
外部のLDAPクライアントからの確認
下記のようにldapsearchで接続が可能です。事前に証明書関連設定を/etc/openldap/ldap.confに設定しておきましょう。
[root@centos ~]# ldapsearch -H ldaps://ad01.si1230.com -D CN=Administrator,CN=Users,DC=si1230,DC=com -W -b dc=si1230,dc=com
Windows Server 2019 Active DirectoryのLDAPを確認する