Mit ldp.exe können Administratoren:

• Verbindungen zu Domain Controllern herstellen (LDAP oder LDAPS), LDAP-Pfade überprüfen
• Authentifizierte Binds durchführen
• Verzeichnisobjekte durchsuchen, filtern, ändern oder löschen, Filter vor dem Einsatz testen
• Attributwerte von Objekten anzeigen oder bearbeiten
• Diagnose- und Troubleshooting-Aufgaben erledigen (z. B. Replikation, Berechtigungen, Deleted Objects)

Damit eignet es sich besonders für Fehleranalyse, Tests und forensische Aufgaben in Active-Directory-Umgebungen. Es kann bspw. bei Microsoft hier heruntergeladen werden.

Einsatz von ldp.exe

LDP einrichten und mit Nutzerdaten verbinden

1. Menüleiste: Connection → Connect
2. Gib den Domain-Controller-Namen ein.
   • Bei LDAPS: SSL aktivieren
3. Bestätigen mit OK.
4. Optional:
   • Menüleiste: Connection → Bind
   • Typ Bind with credentials auswählen
   • Benutzername, Passwort und Domain eingeben (muss die Rechte haben)
   • Bestätigen mit OK.

Active Directory-Struktur durchsuchen

1. Menüleiste: View → Tree
2. Distinguished Name angeben und bestätigen mit OK.
3. Links im Baum kann man jetzt Container (CN) und Organisationseinheiten (OU) aufklappen

Suchen mit Filtern

1. Options → Search → Display Results deaktivieren → OK
2. Browser → Search
3. Base DN: z. B. DC=beispiel,DC=local
4. Run klicken → Die Anzahl der gefundenen Objekte wird angezeigt.

Quellen

• Verwenden von ldp.exe zum Suchen von LDAP-Servern – Cisco
• How to use LDP.EXE to check connectivity and access to AD
• Analysis with LDP tool | ManageEngine Endpoint Central

Der Beitrag LDAP/AD-Fehleranalyse mit ldp.exe erschien zuerst auf Maximilian Krieg.

Symptom

Ein Benutzer wurde aus der Gruppe der Domänenadministrator entfernt und wieder zu einem regulären Benutzer herabgestuft. Er wird einer speziellen Gruppe als Mitglied hinzugefügt, die über eine Delegierung ähnliche Rechte erlangen soll. Jedoch werden die Parameter der Gruppe nicht korrekt auf das Objekt des Benutzers übertragen bzw. angewandt.

Problem

Bei genauerem Hinsehen wird ersichtlich, dass die Vererbung seitens der Gruppen zwar korrekt gesetzt ist, aber der Benutzer die Erbschaft von darüberliegenden Objekten deaktiviert hat. Dies kommt daher, dass für bestimmte Konten und Gruppen in einem festen Intervall die Vererbung deaktiviert wird. Die Gruppe der Domänenadministratoren ist eine solche Gruppe. Die deaktivierte Eigenschaft bleibt dann auch beim Verlassen der Gruppe erhalten und wird nicht durch die Aufnahme in eine neue Gruppe aktiviert.

Lösungsstrategie

Durch manuelles Aktivieren der Erbschaft vom Benutzerobjekt kann die Vererbung der Gruppenrechte korrekt durchgeführt werden.

Der Beitrag Active Directory – Delegierte Berechtigungen sind nicht verfügbar und Vererbung wird automatisch deaktiviert erschien zuerst auf Maximilian Krieg.